Seguridad archivos - Página 23 de 40 - SmythSys IT Consulting

Shellshock vulnerabilidad que afecta a Linux, Mac, Unix. Cuidado con los servidores

David G. Smyth (SmythSys) / 29 septiembre, 2014

La semana pasada salió otra noticia de una vulnerabilidad que afectaba a los entornos que tuvieran Bash como intérprete de comandos, es decir Unix, Linux y Mac (al estar basado en Linux), pero también routers y puntos de acceso. Como siempre en estas noticias ya estaban los alarmistas hablando de Heartbleed etc. Vulnerabilidades se encuentran muy a menudo, para eso están los hackers y para eso se sacan parches. El mismo día o al día siguiente que saliera el aviso mi ordenador, un Lubuntu, ya estaba parcheado ya que la mayoría de las grandes distribuciones de Linux sacaron parches para evitar ese ataque. Mac sin embargo no parece haber reaccionado tan rápido, por lo tanto muchos Mac son vulnerables. Pero si sólo fuera por eso no hubiéramos sacado la noticia. Los sistemas se parchean y punto. Sin embargo es importante destacar que la mayoría de los servidores web (y de otro tipo pero sobre todo web) funcionan en Linux o Unix, por lo tanto pueden estar afectados por este fallo. Y muchos administradores actualizan a mano sus equipos para controlar los fallos. Así que es importante saber que si tienes un servidor dedicado deberías ver si le afecta esta vulnerabilidad y parchearlo. ¿Cómo saber si estás afectado? Si ejecutas este comando: $ env x='() { :;}; echo vulnerable’ bash -c “echo this is a test” Y sale ” vulnerable this is a test” tu servidor tiene la vulnerabilidad y deberías tomar las precauciones debidas cuanto antes. Si , por el contrario sale algo como : bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x’ Entonces tu sistema está bien parcheado. Recordad que esto también puede afectar a puntos de acceso y routers. Aquí os dejo un gran artículo sobre el tema de Chema Alonso y otro de Eleven Paths sobre cómo usar la vulnerabilidad remotamente.

Limpieza de PC, Seguridad, Webs

Servicio Antibotnet de la Oficina de Seguridad Informática

David G. Smyth (SmythSys) / 19 septiembre, 2014

Un gran servicio de la Oficina de Seguridad Informática, de los cuales ya hemos compartido antes páginas y servicios porque están haciendo un gran trabajo. El Servicio Antibotnet: https://www.osi.es/es/servicio-antibotnet ¿Qué es una botnet? En palabras que todo el mundo entienda es un conjunto (red) de ordenadores infectados (zombies) que pueden estar controlados por otra persona o conjunto de personas. Estas botnet pueden usarse para mandar spam, sacar los datos de esos ordenadores, infectar a otros, ataques a webs o incluso para realizar compras desde esos ordenadores. Por lo tanto formar parte de una botnet no hace mucha gracia. Por ello recomendamos tener cuidado dónde se navega, dónde se pincha y realizar revisiones de seguridad y escaneos periódicos a tu ordenador. Pero el problema es que puede haber gente usando tu conexión (amigos, familiares, compañeros de trabajo o de oficina) que estén infectados y no lo sepan (porque no saben o no se molestan en saberlo). Entonces tu IP puede ser bloqueada y puede afectarte a tu envío de correos, servicios en esa Ip y demás. ¿Qué hace el Servicio Antibotnet? Siempre que sea una Ip española comprueba su base de datos y te dice si se ha detectado actividad de botnet desde esa conexión, indicándote los pasos a seguir. Es decir identifica que tienes un problema (primer paso) y te de las posibles soluciones. Más información aquí. Tiene también un plugin de Chrome. Recomendamos hacer la revisión cada cierto tiempo y en caso de sospecha o duda.

Compartir, Correo, Seguridad, Trucos

Mensajes cifrados desde Outlook o Gmail con GPG4Win

David G. Smyth (SmythSys) / 16 septiembre, 2014

La mayoría de los proveedores de correo pusieron https en sus sistema. Esto quiere decir que durante el proceso de envío el mensaje está cifrado (antes se podía interceptar un correo y leerlo con sólo “ponerse en medio”). Aún así, como sabéis cualquier persona que recibe ese correo puede leerlo, se desencripta al llegar. ¿Y si quieres que sólo una persona con cierta clave pueda leer tus correos? ¿Y si los consideras de suficiente importancia o con contenido “delicado” que quieres asegurarte que sólo lo lean ciertas personas? Imaginaos si Blesa etc hubieran hecho esto 😀 Hoy os contamos cómo. GPG4Win es un programa que te permite emitir e instalar un certificado (o varios para diferentes destinatarios) en tu ordenador. Con este certificado tu puedes cifrar los correos que emites (sólo los que elijas, no hace falta que sean todos). Cuando lo cifras usa el certificado y tienes que poner una palabra clave. ¿Cómo lo lee el que lo recibe? Cuando alguien recibe este correo sólo ve números y letras. El receptor tiene que tener dos partes: a) El certificado instalado en su ordenador (se lo tienes que mandar). b) La palabra clave (se la tienes que dar). Por lo tanto, como veis, es bastante difícil que te lean ese correo. Si yo tuviera “material delicado” que enviar, por ejemplo a mi abogado o al contable lo haría así. Os dejo un vídeo sobre cómo instalarlo, es bastante sencillo. Además dispone de plugins para Chrome y para Firefox, aquí tenéis un artículo sobre cómo instalarlo para Gmail con Firefox. Realmente un plus de seguridad a vuestras comunicaciones electrónicas.

Seguridad

Los mejores firewall gratis para tu PC con Windows

David G. Smyth (SmythSys) / 10 septiembre, 2014

Muchos clientes nos comentan, cuando tenemos que hacerles una limpieza, que por qué tienen el ordenador tan lleno de malware y por qué a veces les entran troyanos, keyloggers etc . La respuesta principal es sencilla: falta de actualizaciones del sistema operativo, falta de actualizaciones de programas o el usuario navega o pincha donde no debe. Siendo la última la más peligrosa. Por lo tanto además de un antivirus es recomendable tener anti malware y realizar limpiezas cada cierto tiempo. Y un firewall también es muy recomendable. La mayoría de la gente no lo instala porque puede llegar a bloquear más cosas de las que debe y, como configurar esos desbloqueos es “una lata” prefieren ir “en pelotas” (y luego se preguntan por qué les entran virus :-D). El firewall es un programa que analiza el tráfico que va por tu ordenador. Primero cerrará todos los “huecos” para evitar que entren desde afuera, pero también analizará el tráfico que sale y puede detectar si estás infectado (estás enviando spam o información al exterior). Puedes ver aquí algunas de las funciones del firewall respecto al antivirus. Y no….el firewall de Windows no es suficiente (aunque mejor que nada). Como hemos dicho el firewall puede requerir que tengas que abrir ciertos puertos (ventanas al exterior) para que te funcionen ciertos programas. Pero es mejor perder 5 minutos en aprender a abrir esas ventanas….que tener toda la casa con puertas y ventanas abiertas. Os dejamos una serie de firewalls gratuitos para Windows por si os animáis: Zone Alarm: De siempre ha sido de los mejores firewall en todas las revisiones de este tipo de productos. Sin duda uno de los primeros que debes probar. Comodo Firewall: Otro de los más descargados y usados, nosotros usamos muchos productos de Comodo (como el antivirus), sin duda una empresa muy fiable en productos de seguridad. Emisoft Online Armor: Uno con muchas opciones, quizás para usuarios más avanzados. Tiny Wall: Un gran producto: ligero, poco intrusivo pero eficaz. Tiny Wall ha sabido encontrar su nicho y recibe premios a menudo por su producto. El que yo probaría para usuarios no avanzados.

Gestores de contenidos, Seguridad, Sistemas

Instalar Latch en varios sistemas

David G. Smyth (SmythSys) / 26 agosto, 2014

El otro día hablábamos sobre una de las soluciones de seguridad que más nos ha gustado últimamente: Latch. Una gran idea (aunque sigue sin gustarme la dependencia de los servidores de Elevenpaths). Hoy os quiero dejar algunos manuales para usarlo en vuestras cuentas online, en las que más uséis tipo WordPress, Prestashop, Windows etc. Eleven Paths ya ha creado unos manuales muy completos para la instalación en estos servicios. Además puedes descargar los plugins desde su cuenta de Github: https://github.com/ElevenPaths. Pero os dejo alguna experiencia de algún otro blog: WordPress: El plugin lo puedes descargar del repositorio de plugins de WordPress o de la cuenta de Github de Elevenpaths (enlace arriba). La instalación es tan sencilla que es mejor usar el manual de Elevenpaths: SSH (VPS): Puedes seguir los pasos de este blog donde está muy bien explicado: http://blog.dmgweb.es/instalar-latch-en-un-vps-ssh/ FTP: Otra buena explicación en este blog: http://www.securitybydefault.com/2013/12/configurar-latch-para-proteger-un.html Windows: ¿Quieres proteger tu Windows con Latch para que nadie entre en tu ordenador cuando no lo usas? Aquí tienes explicado cómo descargar el plugin e instalarlo: http://blog.elevenpaths.com/2014/07/news-el-plugin-de-latch-para-windows-ya.html Aquí tienes también una versión compatible con Active Directory. Prestashop: Puedes seguir este manual en inglés o ver las instrucciones del manual de Eleven Paths: Todavía no hay más servicios que me interesen a mi, aunque curiosamente (no tengo) Tuenti ya lo ha activado. Ójala Twitter, Facebook etc lo activen algún día.

Noticias Informáticas, Seguridad, Sistemas

Latch: una gran solución de seguridad para tus servicios y páginas web

David G. Smyth (SmythSys) / 21 agosto, 2014

Después de los problemas mencionados en los artículos anteriores esta semana, está claro que las contraseñas largas no sirven mas que para ataques directos y la autenticación de dos pasos es molesta (y por lo tanto muchos usuarios no lo usarán). Si queréis que os lo explique Chema Alonso en esta charla lo hace de maravilla, paso por paso con el razonamiento que hemos expuesto estos días. También cuenta cómo llegaron a la idea de Latch, pero ahora lo resumo. Latch, de Elevenpaths, me parece una idea genial, no exagero: simple útil y cómoda. Le veo mucho futuro y responde a la necesidad de otra manera de securizar los servicios y las webs sin que sea tan incómodo que no se use. Sigue la idea de los cerrojos tradicionales de las puertas (latches), es decir, si tengo el cerrojo echado desde dentro, me da igual que tengas la llave no entras. El mecanismo es “simple”. Instalas Latch en tu servicio, servidor o web (hay plugisn, widgets, líneas de código etc para ello), activas en el servidor de Elevenpaths el latch del servicio que quieres y los pareas. Con eso ya tienes un cerrojo para esa aplicación (puedes tenerlo para las que quieras). Elevenpaths sólo sabe que tienes un cerrojo para una aplicación en una IP, nada más. ¿Cómo funciona? Muy sencillo, cuando sepas que nadie va a querer entrar en tu servicio o web echas el cerrojo (por ejemplo desde una aplicación en tu móvil). Se puede programar que esté echado ciertas horas, caso típico de por la noche. También puedes dejarlo siempre echado y quitarlo sólo en el momento que vayas a entrar. Al servicio sólo se puede acceder cuando el usuario sea correcto, la contraseña sea correcta Y el latch esté abierto. Esas tres combinaciones. Por más que alguien pruebe el usuario y la contraseña correctos (por ejemplo si te lo han robado), si el latch está cerrado no entrarán. Es más, te llegará un aviso por sms al móvil y eso te servirá para saber que alguien tiene tu contraseña y cambiarla. ¿Qué pasa si pierdes o te roban el móvil? Entras por web en Elevenpatch, borras los latch y creas otros. ¡FÁCIL! La idea es sencillísima pero tiene muchísimo potencial porque de este que es el uso normal han ido desarrollando más y permiten tener varios candados (que sólo puedas acceder abriendo dos candados tipo la seguridad de los misiles en las películas :-D), candados no sólo a la web sino a servicios específicos como pagos, newsletter etc (para que sólo se puedan usar cuando quieras) y mucho más. Lo único que “me escama” es por qué es algo tan sencillo y con tantas opciones gratis y hasta cuando. Eso si, yo lo estoy empezando a usar en mis servicios y lo iré recomendando a los clientes, porque realmente me parece un avance tremendo en seguridad y usabilidad de la misma. Pronto nos centraremos en su uso en los diferentes servicios según los vayamos probando. El único fallo que le encuentro es que sea concepto tipo Blackberry, es decir que todos dependamos del servidor de ElevenPaths. Si este se cae o hay algún fallo…el cristo que se monta es enorme 😀 Más Info: – Latch: Cómo proteger las identidades digitales (I de IV) – Latch: Cómo proteger las identidades digitales (II de IV) – Latch: Cómo proteger las identidades digitales (III de IV) – Latch: Cómo proteger las identidades digitales (IV de IV)

Seguridad, Sistemas, Trucos

Activa la doble autentificación en tus cuentas importantes

David G. Smyth (SmythSys) / 20 agosto, 2014

Con los artículos de ayer o antes de ayer ya deberías saber que el tener una contraseña muy segura no previene que puedan entrar en tus cuentas. Si te roban los datos…..estás igual de vendido. ¿Qué hacer entonces? Tenemos varias opciones de las que hablaremos hoy y mañana, pero una de las más directas es activar la autenticación por dos pasos o doble autenticación. Es ese método que muchos tenemos en el banco al pagar o emitir transferencias, te manda un código por sms. Lo mismo al entrar en tus cuentas, al poner tu contraseña y usuario te mandará un código que debes poner también, si no no entras. Así te aseguras que a) sólo pueda entrar el que tenga el móvil al que se manda el sms b) si alguien intenta entrar y recibes un código…cambia la contraseña. Reconozco….ES UN COÑAZO tener que esperar al sms o similar cada vez que entres en tu correo o tu Facebook. Esa es una de las razones por las que no lo usa la gente. Las medidas de seguridad “latosas” suelen ser poco efectivas porque el usuario no las aplica. Por eso recomendamos sólo activarlo en las cuentas que tengas datos importantes o las que permitan acceder a otras cuentas. Por ejemplo Gmail (con esa no sólo puedes acceder a Google Drive, Calendar etc, sino que otras webs te permiten autenticarte usando Gmail), Facebook (lo mismo, con Facebook puedes logarte a muchas webs) etc. Si tenéis Dropbox también podéis activarlo ahí. Si queréis saber cómo usarlo en Facebook aquí tenéis la información. Recuerda que en los smartphones puedes usar Google Authenticator o las contraseñas específicas de aplicación. Podéis ver más información sobre esto aquí. ¿Es una lata? Si pero más es si te roban los datos de una cuenta importante y de ahí o te roban otras cuentas, o hacen pedidos o borran de manera remota tu ordenador y tu teléfono. Si crees que exagero mira esta historia del periodista al que le roban una cuenta y de ahí otras, para luego formatearle el ordenador y el teléfono. Os dejo su historia…¿a que ya parece mejor idea usar la doble autenticación?.

Seguridad

Otro sitio donde publican usuarios y contraseñas: Pastebin

David G. Smyth (SmythSys) / 19 agosto, 2014

Esta semana nos ha dado por concienciar a la gente de la seguridad en Internet (aunque sabemos que poca gente nos hará caso). Ayer hablábamos de la página haveibeenpwned.com donde se publican muchas de las listas “hackeadas” . Esta página es segura y para uso público. Pero haveibeenpwned no es ni mucho menos el único sitio donde podréis encontrar y donde se publican usuarios y contraseñas: Pastebin . Pastebin es una gran herramienta usada mucho por programadores y es muy útil. Te permite colocar código en formato texto que puedes compartir con otra gente (y colaborar) o guardar tu en la nube. Además, como puedes tenerlo en formato portable puedes guardarlo en Dropbox o Google Drive para usarlo privadamente. El problema es que también es una herramienta que usan muchos hackers para colgar los volcados de sus actividades, ya sea para publicarlo o para tener copia de ellos en la nube. Así que es un sitio donde se publican muchos usuarios y contraseñas, muchos de los cuales siguen funcionando. ¿Quieres verlo? Entra en http://pastebin.com/ y arriba en la derecha hay un buscador. Podéis buscar por “user, password”, por “facebook, password”, por “gmail, password” por “url, password”….ya veréis la cantidad de resultados, muchos de ellos actuales que recibís. Espero que empecéis a ver la importancia de la seguridad y qué fácil es obtener usuarios y contraseñas en Internet, muchas veces las tuyas están publicadas y ni lo sabes.

Seguridad, Trucos, Webs

¿Ha sido mi cuenta hackeada? Haveibeenpwned.com

David G. Smyth (SmythSys) / 18 agosto, 2014

La época de las contraseñas largas y complicadas como único método de defensa se acabó. Esta semana escribiremos varios artículos sobre el tema, pero da igual lo larga que sea tu contraseña, si un sitio que la contenía ha sido hackeado…..la tienen. Habréis oído muchos casos de servidores web a las que se les ha hecho ataques y se han sacado miles de usuarios y contraseñas. Es muy famoso el de Adobe, el caso de Heartbleed que dió acceso a muchas webs y hace unos días uno grupo de hackers rusos consiguieron 1,2 billones de cuentas. ¿Qué quiere decir que te consigan tu usuario y contraseña en estos ataques? Si usas contraseñas y usuarios diferentes para cada página o servicio nada. Pero hay gente que repite contraseña o al menos las relaciona (PedroFacebook por ejemplo) y entonces es fácil conseguir acceso al resto. Es más, hay muchos sitios que te dejan entrar con tu usuario de Facebook, Gmail o similar. Si quieres saber si tu cuenta ha sido afectada por estos ataques una de las mejores páginas es https://haveibeenpwned.com/ Podéis ver aquí algunas de las listas de sitios afectados que usan. Pones tu e-mail o el nombre de usuario que usas en tu aplicación o sistema y verás si aparece. Si aparece lo primero sería cambiar la contraseña lo antes posible. Si eres administrador de un dominio (tienes que demostrarlo) también puedes filtrar por ese dominio para ver qué cuentas se han afectado.

Android, Redes Sociales, Seguridad

AVG PrivacyFix: Comprueba la seguridad de Facebook, Google Plus y Linkedin

David G. Smyth (SmythSys) / 11 agosto, 2014

Alguna gente me ha preguntado qué opciones poner, quitar y cómo cerrar su privacidad en las redes sociales. Esto me alegra porque hay algunos que están por la red como si fueran un conductor en la carretera sin mirar y a 200 km/h. Suicidas. Y encima se quejan de Facebook cuando les pasa algo. Para poder usar cualquier herramienta, incluidas las redes sociales, debes al menos aprender a usarlas mínimamente. Actualización: PrivacyFix ya no está activo. En breve escribiremos cómo hacer esto manualmente. AVG PrivacyFix intenta solucionar esto. No es ningún programa, no va a modificar nada por ti, sino que cuando lo instales, tanto en móviles Apple, como en Android, o en Pc y Mac (Chrome y Firefox), te pedirá que accedas a la red social que quieres securizar que conoce (Facebook, Google Plus y Linkeding). Lo que hace es aconsejarte sobre opciones de seguridad que deberías tener activas o algunas que puedes tener si quieres o no. No cambia nada por ti, sólo aconseja. Recuerda que alguna de estas opciones en alguna red puede afectar a funcionalidades extra (como Google Now) aunque a la mayoría de los usuarios esto no les afectará y ni se darán cuenta. Podéis leer las FAQ aquí. La verdad es que me perece una gran opción para instalar una vez en smartphones y PC/Mac para usuarios que no estén seguros si están controlando bien las redes sociales. Una vez hecho se puede desinstalar. Eso si, si quieres quedártela, tiene funciones extra como gestión de quién puede ver tus comentarios, o de amigos que pueden ver tus noticias o no.