Seguridad

Seguridad, Sistemas

Wifi Pineapple: la piña que te ayuda a hackear

/

El otro día uno del equipo nos pasó este artículo…¡no veas que peligro tiene el aparatito! No solemos compartir artículos no gratuitos, pero conviene conocer este dispositivo para saber lo fácil que es que te hackeen. Ni que decir tiene que nos vamos a comprar este aparatito cuando podamos para análisis. Wifi Pineapple es un dispoistivo preparado para “análisis de seguridad”. Puede funcionar como punto de acceso, como cliente Wifi o por Red. Cuando te conectas a la piña, tienes a tu disposición ya implantadas y de manera sencilla de usar, las principales herramientas que necesitas para hacking (ético y no ético). Te pongo ejemplos: Conectas este aparato a una red por cable o por wifi y abres una herramientas como esta para descifrar lo que vaya en SSL. Mirad lo fácil que es descubrir todos los usuarios y contraseñas de páginas y servicios web, aunque vayan seguras (por cierto fijaos que usan Kali Linux): En vez de hacer eso, puedes hacer un man in the middle para redirigir, con un DNS spoof, páginas a las que quiere ir la gente (una específica o todas) en esa red a otra que tu quieres. Por ejemplo que cuando vaya a google se metan en una página que tengas con virus y se infecten, o que cuando vayan a la página del banco entren en una falsa que tu hayas puesto y recoja las contraseñas. Obviamente también es fácil hackear una contraseña wifi con el Pineapple y conectarte a otra red: Por último como ideas, fijaos si ponéis este aparatito en un aeropuerto o sitio público y creáis una wifi llamada WIFI GRATIS. No veas la de gente que cae. Como eso la piña da muchísimo más. Eso si, algún listo lo intentó en una Defcon….no es buena idea jajajjaa. Le dieron lo suyo.    

Diseño Web, Gestores de contenidos, Seguridad, Sistemas

Protege tu WordPress de ataques XML-RPC

/

El viernes hablaba con un cliente contándole que WordPress es una de las soluciones más usadas para los blogs y Webs por su facilidad de uso y su buen funcionamiento. Sin embargo, esto también lo conocen los hackers….y es una de las plataformas más atacadas. Por lo tanto deberías tener tanto el WordPress como los plugins lo más actualizado posible, y si tu web tiene bastante tráfico (por lo tanto también atrae bastantes hackers) seguramente tendrás que añadir ciertas medidas extra como esta que explicamos hoy (y que nosotros usamos en un cliente hace unos meses). En unos días también os explicaremos algunos de los plugins más usados para reforzar la seguridad de tu web con WordPress, hoy nos dedicaremos a los ataques Xml-RPC, un ataque muy conocido pero que aún así seguro que a algún lector le viene bien. Es un protocolo que usan algunos servicios y que WordPress hizo bien en activar….hasta que lo usaron para atacar. La solución más sencilla es añadir a tu fichero .htaccess un código para desactivar xml-rpc. Si tu web es simple esto debería valer. Te pongo el código: <FilesMatch “^(xmlrpc\.php)”> Order Deny, Allow Deny from all </ FilesMatch> Si no os atrevéis con editar el fichero htaccess podéis añadir un plugin que lo haga por vosotros como este. El problema de este código es que podrías necesitar xmlrpc para algún servicio, ciertas cosas podrían dejar de funcionar dependiendo de la complejidad de tu web. Puedes probar estas variantes:  Esta mira de dónde viene el ataque: <IfModule mod_setenvif.c> <Files xmlrpc.php> BrowserMatch “Poster” allowed BrowserMatch “WordPress” allowed BrowserMatch “Windows Live Writer” allowed BrowserMatch “wp-iphone” allowed BrowserMatch “wp-android” allowed BrowserMatch “wp-windowsphone” allowed   Order Deny,Allow Deny from All Allow from env=allowed </Files> </IfModule> Si usas JetPack deberías añadir estas modificaciones. : <FilesMatch “^(xmlrpc\.php)”> Order Deny,Allow # Whitelist Jetpack/ Automattic CIDR IP Address Blocks Allow from 192.0.64.0/18 Allow from 209.15.0.0/16 Allow from 66.155.0.0/17 Deny from all </FilesMatch> Hay quien recomienda alguna IP más para Jetpack…experimentad con cuidado. Podéis añadir a este código anterior nombres de dominio también para el Allow. Un mejor código, según lo indicado en esta página, para evitar otro tipo de ataque también sería: <FilesMatch “^(xmlrpc\.php|wp-trackback\.php)”> Order Deny,Allow # Whitelist Jetpack/ Automattic CIDR IP Address Blocks Allow from 192.0.64.0/18 Allow from 209.15.0.0/16 Allow from 66.155.0.0/17 Deny from all </FilesMatch> Con esto deberías estar bastante protegido contra este ataque. Si administras tu propio servidor puedes también usar Fail2Ban, un plugin con muchas opciones al que puede que le dediquemos un artículo pronto. Una configuración para este ataque con fail2ban como solución la puedes ver aquí.

Linux, Seguridad, Trucos

Kali Linux: Distribución para seguridad y hackeo

/

En el 2010 hablamos de una distribución llamada Backtrack , basada en Ubuntu,que podíamos usar para jugar con las contraseñas de las wifi. Kali Linux es la evolución de Backtrack pero basada en Debian y reescrita. Si lo que quieres es empezar a aprender o jugar con seguridad, pentesting, aprender hackeo (hacking ético por favor), comprobar la seguridad de tus sistemas o realizar auditorias esta distribución está hecha para ti. Además, al basarse en algo tan usado como Backtrack tienes tutoriales, comunidades y muchísima información sobre cómo empezar. Puedes descargarte Kali desde esta página en iso de 64 y 32 bits para instalar y para ejecutar como Live (es otra de las ISO me gusta llevar en mi USB).  Desde esta otra página puedes descargarte versiones en Vmware, y para otros dispositivos como Raspberry pi, Chromebook etc. Tiene todas las herramientas necesarias para pentesting y auditorias de seguridad que necesitas (por algo la iso ocupa casi 3G).  

Seguridad, Smartphones

Ser consciente de la seguridad de tu iPhone: Chema Alonso

/

Mostrando estos vídeos ayer a mi mujer me preguntaba “¿por que se muestran estas maneras de hackear? ¿ No es peligroso que la gente lo sepa y empiece a hacerlo?”. Buenas preguntas (me casé con una persona inteligente),  pero lo que hay que darse cuenta es que estos procesos se pueden encontrar en cualquier página o foro de Internet y ya lo están haciendo los “maleantes”. Muchos de ellos no tienen ni 15 años porque es facilísimo de hacer. Así que Chema Alonso hace como nosotros a nuestra humilde manera y en otros campos, intentar que la gente sea consciente de los peligros para que haga un uso responsable de sus dispositivos.  El mejor antivirus o firewall es el conocimiento y la barrera más débil de seguridad es siempre el usuario. Esto evidentemente está muy relacionado con el Frapening de las fotos de las famosas. Aunque personalmente no me dan ninguna pena por no saber controlar el backup de sus móviles y que iCloud estaba haciendo copias de sus fotos. Aprende a usar tu dispositivo o atente a las consecuencias. Nota:  esto no tiene nada que ver con Mac (por una vez) porque lo mismo se puede hacer con otras marcas. Simplemente Mac tiene muchos usuarios  y muchos que usan el dispositivo sin tener ni idea de cómo hacerlo o qué hace automáticamente. O dejo dos vídeos de Chema Alonso explicando vulnerabilidades del iPhone (uno de los móviles que más tiene la gente) y cómo evitarlas. Mirad qué fácil es hackear un teléfono de los más caros 😀 ¿Conclusión? Cuidado con dónde ponéis contenido “delicado”, controlad lo que hace vuestro dispositivos, activad sólo lo que podáis controlar y no pinchéis en enlaces desconocidos o que pidan contraseña sin saber exactamente lo que hacen. Aquí otro buen consejo….no conectéis el teléfono a ordenadores compartidos. Un fallo que tenía el iPhone 5 con Siri: Y el riesgo de usar Siri y saber dónde se guardan tus datos cuando lo usas:

Linux, Mac, Seguridad, Sistemas

Shellshock vulnerabilidad que afecta a Linux, Mac, Unix. Cuidado con los servidores

/

La semana pasada salió otra noticia de una vulnerabilidad que afectaba a los entornos que tuvieran Bash como intérprete de comandos, es decir Unix, Linux y Mac (al estar basado en Linux), pero también routers y puntos de acceso. Como siempre en estas noticias ya estaban los alarmistas hablando de Heartbleed etc. Vulnerabilidades se encuentran muy a menudo, para eso están los hackers y para eso se sacan parches. El mismo día o al día siguiente que saliera el aviso mi ordenador, un Lubuntu, ya estaba parcheado ya que la mayoría de las grandes distribuciones de Linux sacaron parches para evitar ese ataque. Mac sin embargo no parece haber reaccionado tan rápido, por lo tanto muchos Mac son vulnerables. Pero si sólo fuera por eso no hubiéramos sacado la noticia. Los sistemas se parchean y punto. Sin embargo es importante destacar que la mayoría de los servidores web (y de otro tipo pero sobre todo web) funcionan en Linux o Unix, por lo tanto pueden estar afectados por este fallo. Y  muchos administradores actualizan a mano sus equipos para controlar los fallos. Así que es importante saber que si tienes un servidor dedicado deberías ver si le afecta esta vulnerabilidad y parchearlo. ¿Cómo saber si estás afectado? Si ejecutas este comando: $ env x='() { :;}; echo vulnerable’ bash -c “echo this is a test” Y sale ” vulnerable this is a test” tu servidor tiene la vulnerabilidad y deberías tomar las precauciones debidas cuanto antes. Si , por el contrario sale algo como : bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x’ Entonces tu sistema está bien parcheado. Recordad que esto también puede afectar a puntos de acceso y routers. Aquí os dejo un gran artículo sobre el tema de Chema Alonso y otro de Eleven Paths sobre cómo usar la vulnerabilidad remotamente.

Limpieza de PC, Seguridad, Webs

Servicio Antibotnet de la Oficina de Seguridad Informática

/

Un gran servicio de la Oficina de Seguridad Informática, de los cuales ya hemos compartido antes páginas y servicios porque están haciendo un gran trabajo. El Servicio Antibotnet: https://www.osi.es/es/servicio-antibotnet ¿Qué es una botnet? En palabras que todo el mundo entienda es un conjunto (red) de ordenadores infectados (zombies) que pueden estar controlados por otra persona o conjunto de personas. Estas botnet pueden usarse para mandar spam, sacar los datos de esos ordenadores, infectar a otros, ataques a webs o incluso para realizar compras desde esos ordenadores. Por lo tanto formar parte de una botnet no hace mucha gracia. Por ello recomendamos tener cuidado dónde se navega, dónde se pincha y realizar revisiones de seguridad y escaneos periódicos a tu ordenador. Pero el problema es que puede haber gente usando tu conexión (amigos, familiares, compañeros de trabajo o de oficina) que estén infectados y no lo sepan (porque no saben o no se molestan en saberlo). Entonces tu IP puede ser bloqueada y puede afectarte a tu envío de correos, servicios en esa Ip y demás. ¿Qué hace el Servicio Antibotnet? Siempre que sea una Ip española comprueba su base de datos y te dice si se ha detectado actividad de botnet desde esa conexión, indicándote los pasos a seguir. Es decir identifica que tienes un problema (primer paso) y te de las posibles soluciones. Más información aquí. Tiene también un plugin de Chrome. Recomendamos hacer la revisión cada cierto tiempo y en caso de sospecha o duda.

Compartir, Correo, Seguridad, Trucos

Mensajes cifrados desde Outlook o Gmail con GPG4Win

/

La mayoría de los proveedores de correo pusieron https en sus sistema. Esto quiere decir que durante el proceso de envío el mensaje está cifrado (antes se podía interceptar un correo y leerlo con sólo “ponerse en medio”). Aún así,  como sabéis cualquier persona que recibe ese correo puede leerlo, se desencripta al llegar. ¿Y si quieres que sólo una persona con cierta clave pueda leer tus correos? ¿Y si los consideras de suficiente importancia o con contenido “delicado” que quieres asegurarte que sólo lo lean ciertas personas?  Imaginaos si Blesa etc hubieran hecho esto 😀 Hoy os contamos cómo. GPG4Win es un programa que te permite emitir e instalar un certificado (o varios para diferentes destinatarios) en tu ordenador. Con este certificado tu puedes cifrar los correos que emites (sólo los que elijas, no hace falta que sean todos). Cuando lo cifras usa el certificado y tienes que poner una palabra clave. ¿Cómo lo lee el que lo recibe? Cuando alguien recibe este correo sólo ve números y letras. El receptor tiene que tener dos partes: a) El certificado instalado en su ordenador (se lo tienes que mandar). b) La palabra clave (se la tienes que dar). Por lo tanto, como veis, es bastante difícil que te lean ese correo. Si yo tuviera “material delicado” que enviar, por ejemplo a mi abogado o al contable lo haría así. Os dejo un vídeo sobre cómo instalarlo, es bastante sencillo. Además dispone de plugins para Chrome y para Firefox, aquí tenéis un artículo sobre cómo instalarlo para Gmail con Firefox. Realmente un plus de seguridad a vuestras comunicaciones electrónicas.

Seguridad

Los mejores firewall gratis para tu PC con Windows

/

Muchos clientes nos comentan, cuando tenemos que hacerles una limpieza, que por qué tienen el ordenador tan lleno de malware y por qué a veces les entran troyanos, keyloggers etc . La respuesta principal es sencilla: falta de actualizaciones del sistema operativo, falta de actualizaciones de programas o el usuario navega o pincha donde no debe. Siendo la última la más peligrosa. Por lo tanto además de un antivirus es recomendable tener anti malware y realizar limpiezas cada cierto tiempo. Y un firewall también es muy recomendable. La mayoría de la gente no lo instala porque puede llegar a bloquear más cosas de las que debe y, como configurar esos desbloqueos es “una lata” prefieren ir “en pelotas” (y luego se preguntan por qué les entran virus :-D). El firewall es un programa que analiza el tráfico que va por tu ordenador. Primero cerrará todos los “huecos” para evitar que entren desde afuera, pero también analizará el tráfico que sale y puede detectar si estás infectado (estás enviando spam o información al exterior). Puedes ver aquí algunas de las funciones del firewall respecto al antivirus. Y no….el firewall de Windows no es suficiente (aunque mejor que nada). Como hemos dicho el firewall puede requerir que tengas que abrir ciertos puertos (ventanas al exterior) para que te funcionen ciertos programas. Pero es mejor perder 5 minutos en aprender a abrir esas ventanas….que tener toda la casa con puertas y ventanas abiertas. Os dejamos una serie de firewalls gratuitos para Windows por si os animáis: Zone Alarm: De siempre ha sido de los mejores firewall en todas  las revisiones de este tipo de productos. Sin duda uno de los primeros que debes probar. Comodo Firewall: Otro de los más descargados y usados, nosotros usamos muchos productos de Comodo (como el antivirus), sin duda una empresa muy fiable en productos de seguridad. Emisoft Online Armor: Uno con muchas opciones, quizás para usuarios más avanzados. Tiny Wall: Un gran producto: ligero, poco intrusivo pero eficaz. Tiny Wall ha sabido encontrar su nicho y recibe premios a menudo por su producto. El que yo probaría para usuarios no avanzados.

Gestores de contenidos, Seguridad, Sistemas

Instalar Latch en varios sistemas

/

El otro día hablábamos sobre una de las soluciones de seguridad que más nos ha gustado últimamente: Latch. Una gran idea (aunque sigue sin gustarme la dependencia de los servidores de Elevenpaths). Hoy os quiero dejar algunos manuales para usarlo en vuestras cuentas online, en las que más uséis tipo WordPress, Prestashop, Windows etc. Eleven Paths ya ha creado unos manuales muy completos para la instalación en estos servicios. Además puedes descargar los plugins desde su cuenta de Github: https://github.com/ElevenPaths. Pero os dejo alguna experiencia de algún otro blog: WordPress: El plugin lo puedes descargar del repositorio de plugins de WordPress o de la cuenta de Github de Elevenpaths (enlace arriba).  La instalación es tan sencilla que es mejor usar el manual de Elevenpaths: SSH (VPS): Puedes seguir los pasos de este blog donde está muy bien explicado: http://blog.dmgweb.es/instalar-latch-en-un-vps-ssh/  FTP:  Otra buena explicación en este blog: http://www.securitybydefault.com/2013/12/configurar-latch-para-proteger-un.html  Windows: ¿Quieres proteger tu Windows con Latch para que nadie entre en tu ordenador cuando no lo usas? Aquí tienes explicado cómo descargar el plugin e instalarlo: http://blog.elevenpaths.com/2014/07/news-el-plugin-de-latch-para-windows-ya.html Aquí tienes también una versión compatible con Active Directory. Prestashop: Puedes seguir este manual en inglés o ver las instrucciones del manual de Eleven Paths: Todavía no hay más servicios que me interesen a mi, aunque curiosamente (no tengo) Tuenti ya lo ha activado. Ójala Twitter, Facebook etc lo activen algún día.

Noticias Informáticas, Seguridad, Sistemas

Latch: una gran solución de seguridad para tus servicios y páginas web

/

Después de los problemas mencionados en los artículos anteriores esta semana, está claro que las contraseñas largas no sirven mas que para ataques directos y la autenticación de dos pasos es molesta (y por lo tanto muchos usuarios no lo usarán). Si queréis que os lo explique Chema Alonso en esta charla lo hace de maravilla, paso por paso con el razonamiento que hemos expuesto estos días. También cuenta cómo llegaron a la idea de Latch, pero ahora lo resumo. Latch, de Elevenpaths, me parece una idea genial, no exagero: simple útil y cómoda. Le veo mucho futuro y responde a la necesidad de otra manera de securizar los servicios y las webs sin que sea tan incómodo que no se use. Sigue la idea de los cerrojos tradicionales de las puertas (latches), es decir, si tengo el cerrojo echado desde dentro, me da igual que tengas la llave no entras. El mecanismo es “simple”. Instalas Latch en tu servicio, servidor o web (hay plugisn, widgets, líneas de código etc para ello), activas en el servidor de Elevenpaths el latch del servicio que quieres y los pareas. Con eso ya tienes un cerrojo para esa aplicación (puedes tenerlo para las que quieras). Elevenpaths sólo sabe que tienes un cerrojo para una aplicación en una IP, nada más. ¿Cómo funciona? Muy sencillo, cuando sepas que nadie va a querer entrar en tu servicio o web echas el cerrojo (por ejemplo desde una aplicación en tu móvil). Se puede programar que esté echado ciertas horas, caso típico de por la noche. También puedes dejarlo siempre echado y quitarlo sólo en el momento que vayas a entrar. Al servicio sólo se puede acceder cuando el usuario sea correcto, la contraseña sea correcta Y el latch esté abierto. Esas tres combinaciones. Por más que alguien pruebe el usuario y la contraseña correctos (por ejemplo si te lo han robado), si el latch está cerrado no entrarán. Es más, te llegará un aviso por sms al móvil y eso te servirá para saber que alguien tiene tu contraseña y cambiarla. ¿Qué pasa si pierdes o te roban el móvil? Entras por web en Elevenpatch, borras los latch y creas otros. ¡FÁCIL!  La idea es sencillísima pero tiene muchísimo potencial porque de este que es el uso normal han ido desarrollando más y permiten tener varios candados (que sólo puedas acceder abriendo dos candados tipo la seguridad de los misiles en las películas :-D), candados no sólo a la web sino a servicios específicos como pagos, newsletter etc (para que sólo se puedan usar cuando quieras) y mucho más. Lo único que  “me escama” es por qué es algo tan sencillo y con tantas opciones gratis y hasta cuando. Eso si, yo lo estoy empezando a usar en mis servicios y lo iré recomendando a los clientes, porque realmente me parece un avance tremendo en seguridad y usabilidad de la misma. Pronto nos centraremos en su uso en los diferentes servicios según los vayamos probando. El único fallo que le encuentro es que sea concepto tipo Blackberry, es decir que todos dependamos del servidor de ElevenPaths. Si este se cae o hay algún fallo…el cristo que se monta es enorme 😀 Más Info: – Latch: Cómo proteger las identidades digitales (I de IV) – Latch: Cómo proteger las identidades digitales (II de IV) – Latch: Cómo proteger las identidades digitales (III de IV) – Latch: Cómo proteger las identidades digitales (IV de IV)

Scroll al inicio