Seguridad archivos - Página 4 de 40 - SmythSys IT Consulting

Convertir un fichero .pem a .ppk . Por ejemplo para usar como passkey en conexiones ssh.

David G. Smyth (SmythSys) / 7 septiembre, 2023

Cuando quieres mejorar la seguridad de acceso a un recurso online, como un servidor, una de las maneras es con un certificado. Al generarlo, esto genera un fichero pem. Después, necesitas poder usarlo para conectarte, por ejemplo por ssh. Pero estas conexiones necesitan ficheros .ppk, llamados private key files. ¿Cómo conviertes un fichero .pem a un fichero .ppk? En este vídeo te lo enseñamos pero consiste en: En el ´vídeo también te mostramos cómo usarlo en una conexión de putty.

Diseño Web, Gestores de contenidos, Seguridad, Servidores, Sistemas

?BLOQUEAR una IP o el rango de un PAÍS, para proteger tu página web.

David G. Smyth (SmythSys) / 19 junio, 2023

En ocasiones necesitamos bloquear la IP de un atacante a una página web. Porque nos esté añadiendo spam, malware, o ataques diversos a la web.Más frecuentemente aún es intentar bloquear un país o varios países (y esto se puede hacer por IPs asignadas a estos países). Algunos alojamientos tienen firewall (que puede implementar esto) …pero no todos. Podemos añadir firewalls a nuestras webs…pero no siempre ofrecen este servicio de manera gratuita. Y no siempre es interesante añadir plugins que no sean imprescindibles a una web. Hoy os enseñamos a hacerlo a través del fichero htacess de Apache. Cómo bloquear una IP o rango de IPs con el fichero htacess. Para poder bloquear una ip específica tenemos que añadir el siguiente código en el fichero htacess: Donde xxxx es la ip que queremos bloquear. Si quieremos bloquear un páis, necesitamos saber el rango de IPs de esos países. Para ello vamos a usar páginas que nos las proporcione: En esas páginas podemos elegir los países, y generar un listado de bloqueos usando el comando anterior. Os lo mostramos en el vídeo:

Código Worpdpress, Gestores de contenidos, Seguridad

Técnica de Enumeración de Usuarios en WordPress. Descubren tus administradores.

David G. Smyth (SmythSys) / 6 junio, 2023

El número de ataques estos días a las páginas web de WordPress está siendo muy significativo.Hoy os dejamos una manera que tienen los hackers de descubrir los usuarios administradores de tu web de manera rápida: la enumeración de usuarios. Si alguien quiere probar descubrir el acceso de tu web “a lo bestia” (por fuerza bruta), necesita dos cosas: un usuario administrador y su contraseña. Si consiguen el usuario de manera fácil, tienen el 50% del trabajo hecho. Aunque no consigan entrar, estos ataques quitan recursos del servidor, que tiene que estar comprobar si son reales, si la combinación de usuario y contraseña coincide o no. Hay muchas maneras de descubrir los administradores de tu página en WordPress (otros días veremos otras), pero una de ellas es muy sencilla y es la que intentamos resolver hoy. Solución: enumeración de usuarios en WordPress. WordPress, por defecto, tiene varios sitios donde muestra usuarios: Las soluciones para estos problemas dependen de tu web, pero te damos ideas que suelen servir para todas: O un código en el functions.php de tu tema hijo o plugin de snippets (este no lo hemos probado) Os dejamos un vídeo que lo muestra.

Curiosidades TIC, Información Tecnica, Seguridad

PASSKEYS o Llaves de Acceso. EL FIN DE LAS CONTRASEÑAS. Te las explicamos

David G. Smyth (SmythSys) / 8 mayo, 2023

La semana pasada Google anunció que activaba las Passkeys para las cuentas privadas de Google. Ya se pueden generar passkeys para dispositivos en las cuentas no comerciales. Y el artículo tenía de título “El principio del fin de las contraseñas“. Esto realmente parece que va a ser así, muchas grandes empresas (Paypal, Apple, Google, Microsoft, Amazon, Intel, Visa,etc…) se han puesto de acuerdo, siguiendo las directrices comunes del Fido Alliance, para implementar estas Llaves de acceso y desechar las contraseñas definitivamente. ¿Por qué librarse de las contraseñas? Las contraseñas no son seguras, desde hace mucho tiempo. Por muchísimas razones. Por un lado las tienen dos partes (el usuario y el servicio), lo que multiplica las opciones de ataque. Además, una o las dos partes guarda dicha contraseña en Internet (peligroso). Por otro lado, dependemos de la contraseña que ponga el usuario y, como el cerebro humano no es perfecto, estos (en vez de usar gestores de contraseñas) usan contraseñas sencillas, usan siempre la misma, la escriben en post-it, las pegan debajo de los teclados….el ser humano es un gran defecto en este sistema. Se han hecho mejoras a este sistema, como la autenticación de múltiple factor (obligatoria en muchos servicios). Pero tiene sus fallos (SIM swapping etc), para muchos no es cómoda y, por lo tanto, todavía hay muchísimos usuarios que no la usan en los servicios donde no es obligatoria. Hay que tener en cuenta que un gran porcentaje de los intentos de acceso a las cuentas diariamente son ataques. Con el sobrecargo de tráfico que produce y los problemas económicos para las empresas al tener que contrarrestarlo y arreglar sus efectos. SOLUCIÓN: CIFRADO ASIMÉTRICO. CLAVE PÚBLICA Y CLAVE PRIVADA. En los años 1976-1977, gente como Ralph Merkel, Whitfield Diffie y Martin Hellman (algoritmo de Diffie-Hellman) y Ron Rivest, Adi Shamir y Leonard Adleman (algoritmo RSA) sentaron las bases para lo que se conoce como cifrado asimétrico. Este ya te lo explicamos un día, pero hemos hecho un vídeo resumen en menos de un minuto que os dejamos aquí: Este es el cifrado que se usan constantemente en Internet, cada vez que accedes a una web, usando certificados públicos y privados SSL tanto de la web como de tu navegador, para la comunicación entre páginaweb-navegador y navegador-páginaweb. Y este es el método que se usa en el objetivo del artículo de hoy: las Passkeys o Llaves de Acceso (no me gusta el nombre en español). Passkeys: cómo funcionan. Como hemos dicho más arriba las Passkeys se basan en el cifrado asimétrico. Cada vez que quieras usar un servicio (Gmail, Facebook, Instagram) por primera vez en un dispositivo, este te va a dar la opción, si no lo tienes, de crear un Passkey. Esto es importante, se guarda en tu dispositivo (también se puede guardar en el KeyChain de Apple y pronto en gestores de contraseñas). El servicio guardará una clave pública para ti en su sistema (que si has visto el vídeo anterior no importa que esté en Internet) y una clave privada en tu dispositivo. Esta clave privada no la sabe el usuario, sólo el dispositivo. no se transmite por Internet, no se comparte….acabamos de reducir muchísimo las opciones de ataque.Para primera generación de clave pública/clave privada en un dispositivo, tienes que darle autenticación extra, por ejemplo confirmarlo con autentificación biométrica, o con el patrón de desbloqueo de tu dispositivo, para asegurar que eres tú. Cuando vayas a acceder al servicio, de manera oculta para el usuarios, este mandará un mensaje cifrado con tu clave pública que sólo la clave privada de tu dispositivo puede descifrar. Si lo hace…entras. Así que, otra de las ventajas, es que sólo tienes que introducir el usuario para acceder a un servicio. El resto ocurre en el fondo, entre el servicio y el hardware de tu dispositivo. Acabamos de eliminar dos de los grandes problemas de las contraseñas: el usuario (y cómo gestiona las contraseñas) y el tener claves importantes en Internet (la pública es la única que está y no importa). Te lo explicamos en este vídeo. Esto hace preguntarse varias cuestiones….algunas de las cuales se irán respondiendo según se implante el sistema. Pero ya hay respuestas para otras. Lo que está claro es que el sistema viene para quedarse. Y que parece que va a disminuir las opciones de que accedan a nuestros servicios, y mejorar la experiencia de usuario.

Gestores de contenidos, Seguridad, Trucos

Desactivar el protocolo XMPL-RPC en WordPress por seguridad.

David G. Smyth (SmythSys) / 13 abril, 2023

Hemos notado un gran número de ataques en clientes al protocolo xml-rpc de WordPress. Hoy os enseñamos a desactivarlo para evitar estos ataques. El protocolo xml-rpc lo activó hace unos años WordPress para comunicar e interactuar con tu WordPress vía http. Lo usan las aplicaciones móviles y ciertos plugins como Jetpack. Pero pronto se dieron cuenta “los malos” que ellos podían usarlo también. Y lo hacen con frecuencia. Así que parece lógico desactivarlo (salvo casos muy puntuales). Porque, aunque no te entre alguien por ahí, te pueden “tirar” la web con ataques de Denegación de Servicio DoS (los explicamos otro día). Y, si no se cae la web, al menos tantas peticiones a este protocolo la ralentizan (cosa que puede afectarte al SEO). Cómo desactivar el protocolo XML-RPC en WordPress. En Internet hay varios métodos, algunos no funcionan bien, otros no son ´óptimos. Obviamente puedes tener un plugin de seguridad que tenga esta función, y activarla. Pero siempre decimos que no nos gusta sobrecargar las webs con plugins si no son necesarios. Hay una solución que es añadiendo un código del tipo add_filter de WordPress. Pero a nosotros no nos ha funcionado. Y tampoco sería la mejor opción, porque estamos encargando a la web que realice estas tareas de denegar accesos, y eso es cargarla con más procesos. Lo ideal es que el servidor web rechace el acceso a ese protocolo antes de llegar a la web. En el vídeo bajo estas líneas os mostramos cómo hacerlo con Apache (la mayoría lo tendréis), pero también os dejamos un código (que no hemos probado) para hacerlo con Nginx. Apache. Añade esto en tu htaccess. Si tienes Nginx el código (para el fichero de configución) similar debería ser (recuerda hacer un reload) Te lo mostramos en el siguiente vídeo:

Seguridad, Sistemas, Soporte

Windows 10 y 11: cómo comprobar si tienes actualizaciones pendientes y actualizarlos.

David G. Smyth (SmythSys) / 29 marzo, 2023

Hoy compartimos un vídeo básico, pero es que todos hemos aprendido alguna vez y hay usuarios que pueden tener esta duda. Os hemos recordado varias veces la importancia de mantener actualizados vuestros sistemas: porque los atacantes usan fallos en esos tres sitios, y al actualizarlos tapas agujeros y reduces las posibilidades de que entre malware (virus, spyware, adware etc). También os hemos enseñando maneras de actualizar los drivers o el software de vuestro sistema. Hoy, en este vídeo, os enseñamos a comprobar si tenéis vuestro Windows actualizado, con los parches al día, y cómo instalar si tenéis alguno pendiente. Tanto en Windows 10 como en Windows 11.

Seguridad, Sistemas, Trucos

Cómo obtener la contraseña Wifi guardada en un ordenador Windows por línea de comandos.

David G. Smyth (SmythSys) / 1 enero, 2023

Hace unos días estábamos en la oficina de un cliente montando nuevos ordenadores, y no nos había dejado la contraseña de Wifi. Como era más rápido que tratar de contactar con el cliente, sacamos la contraseña de uno de los otros ordenadores con Windows de la oficina que se había conectado a esa Wifi. En este caso lo hicimos por línea de comandos (terminal cmd o Powershell), que tiene la ventaja de poder mostrar la contraseña de cualquier wifi a la que se haya conectado ese ordenador, esté o no conectado a esa red en ese momento. Otro día os mostramos cómo hacerlo desde Windows directamente. Estos son los pasos que seguimos para obtener la contraseña. Obtener la contraseña de un Wifi guardada en un ordenador Windows por CMD. Donde vamos a sustituir Wi-Fi name por el nombre del perfil que hemos apuntado en el comando anterior. Veremos que nos aparece una pantalla con un campo llamado Contenido de la clave que contiene la clave de dicha Wifi. ´Como veis es MUY sencillo. Y además es otra razón para no dejar nuestro ordenador portátil desprotegido. Cualquiera puede obtener rápidamente cualquier contraseña de wifi almacenada en nuestro ordenador. Os lo mostramos en este vídeo:

Seguridad, Sistemas, Soporte

Correos de phishing detectados suplantando a la Agencia Tributaria. ¡No pinchéis!

David G. Smyth (SmythSys) / 19 abril, 2022

Como todos los años cuando llega la campaña de la renta, hemos detectado una campaña de phishing (notificaciones que intentan que pinches en un enlace) con spoofing (suplantación de identidad) que aparenta venir de la Agencia Tributaria. Estos son algunos ejemplos de correos de ese tipo, muchos provienen del dominio correo.aeat.es . Esto es una manera de trabajar común en los ataques de phishing donde cambian una sola letra del correo para que parezca legítimo. Podéis ver más información sobre casos de phishing en la propia web de la Agencia Tributaria. Como siempre os damos las recomendaciones básicas sobre el phishing. Este tipo de agencias sólo mandan las notificaciones para que te conectes a su web y abras las notificaciones desde ahí. Sin enlaces y isn adjuntos. En caso de duda entra en tu panel de la Agencia con tu cuenta (DNI, certificado etc) y miras si tienes notificaciones. No pinches nunca en ningún enlace de un correo mínimamente sospechoso. En caso de duda, borra el correo. Tienes más consejos sobre correos fraudulentos en este vídeo.

Seguridad, Servidores, Sistemas

OpenVPN en Windows con EasyRSA 3 (versiones de OpenVPN 2.4 o superiores). Parte del servidor.

David G. Smyth (SmythSys) / 3 enero, 2022

Desde la versión 2.4, OpenVPN ha cambiado su sistema de generación de certificados a EasyRSA 3. El sistema para configurarlo es diferente y hoy os explicamos todo el proceso de la instalación y configuración del servidor en Windows. Paso 1: Instalación de OpenVPN. Paso 2: configura la plantilla de certificados. Una vez instalado el programa, abre un terminal con permisos de administrador y ve a C:\Program Files\OpenVPN\easy-rsa Ahora hay que editar, si quieres, el fichero vars.bat con el editor de notas o con el Wordpad. Hay uno de ejemplo, cambia el nombre o cópialo a vars.bat. Es la plantilla que se va a usar para la generación de certificados y debemos poner varios valores. Puedes hacerlo desde terminal escribiendo notepad vars.bat. Tienes que modificar y poner los siguientes valores (los de cursiva son ejemplos, pon los tuyos): Tú decides si quieres cambiar el valor del parámetro Diffie Hellman (no es necesario). set_var EASYRSA_KEY_SIZE 2048 Paso 3. Genera los certificados y llaves del servidor y de los usuarios. En estos pasos, la opción nopass es para que no pregunte la contraseña. En el servidor no conviene ponerla (puedes), en los clientes puedes añadirla si quieres más seguridad…pero también hará que sea menos amigable porque cada vez que haya que firmar te pedirá la clave. Tú decides. Si quieres clave no pongas nopass. Primero generamos la entidad certificadora. Te va a preguntar el nombre de tu servidor. Esto crea dos ficheros: Ahora creamos el certificado y la llave del servidor. Ahora puedes generar las claves de los clientes. Client1 lo debes sustituir por el CN de tus usuarios (yo uso sus nombres de usuario). NOTA: si luego queremos volver, otro día, a ejecutar este comando para generar los certificados de cliente, recuerda que tenemos que ejecutar el EasyRSA-Start.bat para entrar en el shell de RSA. Genera los parámetros Diffie Hellman: Este último paso es opcional, pero aumenta la seguridad. Generamos una clave TLS (fichero que debe tener tanto el servidor como los clientes). Ejecútalo en el directorio /bin de openvpn y te crea ahí el fichero. Paso 4. Obtención de ficheros. Con los pasos anteriores se han generado los siguientes ficheros que necesitaremos (rutas desde easy-rsa): Paso 5. Configuración final del servidor. Esta última parte es exactamente igual que la Configuración final del servidor de la versión anterior que podéis ver aquí (ten en cuenta que el fichero ahora es dh.pem y no dh2048.pem). Con eso ya estaría la parte del servidor. Inicializa el programa, dale a Connect y mira si se conecta en verde. Nota: si queréis abrir en el firewall tam´bien podéis hacer: Después, podéis seguir esta configuración para los clientes.

Seguridad, Servidores, Sistemas

Recuperar una web hackeada en alojamientos OVH.

David G. Smyth (SmythSys) / 10 diciembre, 2021

Tenemos muchos clientes con alojamientos (hosting) en OVH (el mayor proveedor de servicios cloud de Europa. Y, en ocasiones, tienen problemas con hackers en sus sitios web.OVH dispone de varias herramientas para ayudar en la recuperación de sitios infectados, pero la documentación no es la más completa del mundo. Así que recopilamos algunas de las herramientas que podéis usar si tenéis un hosting con este proveedor. Y, como siempre, nos sirve para futuros clientes. Herramientas para recuperar webs hackeadas en hostings de OVH. Estas son algunas de las herramientas que podéis usar: Activación del firewall de aplicación ModSecurity .ModSecurity es un complemento de Apache que sirve como un firewall para tu página web. Compara las peticiones con una base de datos de ataques, para bloquear los que detecta como nocivos. Es efectivo ante ataques como troyanos, SQL, XSS e email injection, file injections etc, OVH tiene este complemento pero desactivado por defecto. Puedes ver como activarlo aquí: Tienes que ir a tu alojamiento, a la pestaña Información general y ahí al aparado de configuración. En configuración pinchar en los botones de Versión PHP global , y ahí en Cambiar la configuración. Ahí tenéis que activar la opción Firewall de activación.. Después, tienes que activarlo para el dominio. Así que ve a la pestaña Multisitio, pincha en los tres puntos al lado del dominio que quieras, y luego en modificar y después marca la casilla de Activar Firewall. Restauración de las copias de seguridad desde la página de OVH.OVH hace copias de seguridad tanto de base de datos como de ficheros. De varios periodos. Para restaurarlas sólo tienes que hacer lo siguiente: – Base de datos: ve al alojamiento, pestaña de Base de datos, pincha en los tres puntos al lado de tu base de datos, y restaurar copia de seguridad. – Ficheros: ve al alojamiento, pestaña de FTP-SSH, y pincha en Restaurar una copia de seguridad. Restauración de las copias de seguridad por FTP.En ocasiones no puedes restaurar las copias de seguridad desde el backend de OVH. Bien porque ellos hayan bloqueado el hosting, o porque exista algún problema técnico (lo hemos sufrido). Afortunadamente OVH te deja acceder a los Snapshots por FTP, descargarlos y luego poder subirlos. Pero no es fácil encontrar cómo, por eso lo compartimos aquí. – Base de datos. ve al alojamiento, pestaña de Base de datos, pincha en los tres puntos al lado de tu base de datos, Puedes descargar la copia de seguridad a mano. Y luego subirla por phpMyAdmin o similar. Pero seguramente esto no fallará. – FTP: el truco para acceder al snapshot es conectarte con el mismo usuario pero añadiendo el sufijo –snapX donde X es un número de 0 en adelante. Es decir con usuarioftp-snap3 accedes al snapshot del domingo anterior a la 1:00. Puedes descargar el snapshot por FTP, luego conectarte normal al FTP y subir la copia de seguridad. Recuperar un alojamiento desactivad por motivos de seguridad. Cuando OVH detecta malware, bloquea el hosting. Normal. Y para restaurarlo normalmente abres un ticket, pero eso tarda. Lo que no suele saberse es que es posible reactivar el alojamiento por FTP. Para ello, una vez arreglada la infección, entra en la raíz del alojamiento con Filezilla, pincha en Servidor->Introducir comando personalizado y pon: Cambiar los permisos así reactiva el alojamiento. Esperamos que estos trucos os sirvan de ayuda.