DaboBlog

Primero fue Twitter…

Bueno, sobre lo de Twitter y el cambio de password vía web no voy a hablar mucho porque los habituales de DaboBlog lo sabéis. Ya hice la demo en el pasado FIMP, demostrando que se podía acceder (en el caso que presenté) con un cliente móvil con la contraseña antigua todo el tiempo que quisieras hasta que que cerrase la sesión (también lo mencioné en el 5EBloggers del ENISE e hice otra demo vía móvil a varios compañeros de mesa). A modo de recordatorio, en caso de pérdida de un móvil u otro dispositivo ya sabéis, o borrado remoto, o ir a Twitter y revocar el acceso a la aplicación. Aún cambiando vía web el password, seguirán conectados a tu cuenta.

Ahora Dropbox.

Leer el resto de;”[FAIL] Primero fue Twitter y ahora Dropbox. Cambias el password y hasta el “logout” sigues conectado.”

Tags: Bugs, Dropbox, Hacking, nube, Password, Seguridad Informatica, Twitter

Ayer llegué de León con muy buen sabor de boca, después de haber participado en el evento “Encuentro blogueros de Seguridad 2011” organizado por INTECO-CERT, una mesa redonda (larga y rectangular más bien;) dentro de las actividades paralelas del 5º ENISE (Encuentro Internacional de Seguridad de la Información).

Edito y añado, ya están los vídeos.

Creo que un buen resumen acerca de lo que hablamos lo hizo (y muy rápido, dada la hora a la que nos retiramos) Sergio de los Santos en el Blog del laboratorio de Hispasec. (no “de los Santosm” como dice ABC, tampoco su crónica, leyendo ya el primer párrafo se ajusta a la realidad-;). Edito y añado la crónica de Manolo (grande;) en Security Art Work, así podéis leer todos los puntos de vista.

Por añadir algo a los suyos, entramos en un debate con opiniones diversas sobre si la concienciación en buenas prácticas sobre seguridad informática era efectiva. Bien desde la divulgación pura y dura, acompañada de la dureza de posibles sanciones, etc. Sobre este punto hay una cosa que tengo muy clara, independientemente de las opiniones vertidas, la realidad es que todos los que estábamos en la mesa, desde hace años, venimos haciéndolo en distintos medios y seguiremos haciéndolo. Creo que por encima de nuestras opiniones o percepciones, seguiremos porque es necesario y más con el panorama actual, ciertos mensajes sí llegan al usuario final.

Leer el resto de;”Sobre mi participación en León en el “5EBloggers” de INTECO-CERT”

Tags: Blogger, Dabo, DaboBlog, ENISE, INTECO-CERT, noticias, PYMES, Seguridad Informatica

El concepto de “seguridad por oscuridad” viene ya de lejos. Imagino que, si hablamos de servidores web, nace de la necesidad de protegerse tanto de muchos ataques automatizados que pueden llegar a nuestro servidor web, buscando versiones de software vulnerables, como de la imposibilidad de realizar esas actualizaciones o frente a ataques “0 day”, para los que no hay ningún parche disponible.

Hoy vamos hablar de una herramienta interesante que ya mencioné  hace más de un año en el pasado FIMP. Se trata de “Whatweb”, (acceso a la web del proyecto y su lugar en GitHub). Se trata básicamente de una herramienta capaz de identificar las versiones instaladas de la gran mayoría de CMS (gestores de contenidos) actuales, plugins y una gran variedad de aplicaciones web. También proporciona datos tan relevantes como versiones de Apache, SSL o PHP a través de la información extraída de las “cabeceras” o “banners” que lee cuando realiza una petición al website en cuestión.

"Features" (Según se lee en la web del proyecto):
	* Over 1000 plugins
	* Control the trade off between speed/stealth and reliability
	* Plugins include example URLs
	* Performance tuning. Control how many websites to scan concurrently.
	* Multiple log formats: Brief (greppable)
          XML, JSON, MagicTree, RubyObject, MongoDB, SQL.
	* Proxy support including TOR
	* Custom HTTP headers
	* Basic HTTP authentication
	* Control over webpage redirection
	* Nmap-style IP ranges
	* Fuzzy matching
	* Result certainty awareness
	* Custom plugins defined on the command line

Por lo general, simplemente dentro del directorio desde donde hayamos descargado Whatweb, ejecutamos;

Leer el resto de;”/* Sec tools */ (Cap 1). Whatweb y curl. “Seguridad por oscuridad” en servidores web GNU/Linux y Apache.”

Tags: Apache, Ataques, CMS, Curl, GNU/Linux, Hacking, Plugins, Server, Servidor Web, Whatweb, Wordpress

Pues sí, allí estaremos, el próximo Miércoles día 26, a las 19 h en el Salón Auditorio A, del Parador San Marcos. Compartiendo mesa y ponencia con gente a la que sigo habitualmente (y admiro) como una actividad paralela a los actos que se celebran en torno al 5º ENISE (Encuentro Internacional de Seguridad de la Información).

Con el tema “Hacia una sociedad conectada más confiable” (ceo que el tema dará mucho juego), pudiendo seguirse de un modo presencial (entrada libre hasta completar el foro) o para quienes no puedan asistir, vía web. Tras una primera intervención por parte de quienes formamos la mesa, luego habrá un turno de preguntas y respuestas. En Twitter, el “hashtag” será; #5Ebloggers

En la mesa compartiré espacio junto a;

Moderador; Javier Berciano (Coordinador del Área de Operaciones de INTECO-CERT)

José Selvi Pentester | Manuel Benet Security Art Work |  Yago Jesús SecurityByDefault

Así que ya sabes, si te pasas por León, allí nos veremos, gracias a la organización por invitarme a asistir y un saludo a los compañeros de mesa ;).

Más info; “Encuentro Blogueros de Seguridad 2011“.

Tags: Dabo, DaboBlog, ENISE, INTECO-CERT, Seguridad Informatica

# Introducción y enlaces recomendados para su lectura.

Ya he hablado antes en DaboBlog de seguridad y WordPress. No hace mucho, publiqué en mi cuenta de Twitter un enlace con el título “Hardening WordPress” (la guía oficial de WordPress para fortificar instalaciones de WordPress). El amigo Jordi Prats de “System Admin”, escribió un artículo “Configuración segura de Apache para WordPress“, con el fin de evitar el listado de plugins frente a una auditoría realizada con nuestro querido Nmap (vía el script http-wp-plugins para nmap)

En el caso de Jordi, fue a raíz de un post muy interesante de Chema Alonso (de “El lado del mal”) en el que realizaba un ataque de este tipo, con algún tip más (por ejemplo el típico error del listado de directorios en Apache y entrar “hasta la cocina”).

Pero tenía pendiente esta entrada sobre este tema y está dedicada especialmente a Dani de “El Arca de la alianza” ya que en alguna ocasión me lo había comentado, y era algo en “pendiente” desde que grabé con él un podcast sobre “Iniciación a la seguridad informática”.(y a ver si retomas la publicación bandido;).

Sobre todo esto se ha escrito por supuesto mucho y muy bien en otros blogs, pero destaco y recomiendo leer los enlaces a las entradas de WordPress.org, Jordi , Chema, Security By Default y Oreixa (con esos seis enlaces ya tenéis una buena hoja de ruta para empezar) ya que me parece que todo puede ser complementario. También citaré alguno útil en el caso de que tengáis el registro de usuarios activado en vuestro blog.

Además de cuestiones como proteger la cuenta de admin (o cambiar el nombre), tener passwords potentes (y cambiarlos), habilitar incluso el acceso por SSL al área de administración (Oscar Reixa habló de ello y publicó una entrada de la parte que tocó de WordPress junto a mi en el FIMP 2010) o una configuración de PHP para que en el caso de que haya algún fallo en la ejecución de una función o un plugin (display errors “off”) para que no revele el “path” o ruta de la instalación de WordPress (un tema publicado no hace mucho en Security By Default, recomendable su lectura). Sobre cuestiones de seguridad, servidores web y Apache (que está todo relacionado), quizás os sirva también de ayuda el resumen de mi participación en el FIMP de Gijón (2010).

# 21 Plugins para dotar a WordPress de más seguridad.

#Actualizado, gracias por vuestras sugerencias ;)

 Vamos a pensar que no todo el mundo tiene acceso vía SSH para controlar su servidor, puede estar en un hosting compartido y creo que sobra decir que si no tenéis vuestra instalación, temas en algún caso y plugins actualizados, de poco servirán muchas de las medidas de prevención comentadas.

Akismet; Todo un clásico, poco hay que hablar de él, salvo que conviene mirar de vez en cuando los comentarios o “trackbacks” ya que no es muy difícil ver “falsos positivos” y más cuando alguien en un comentario alguien mete más de 3 enlaces como se puede configurar en “Ajustes-Comentarios”). Web del plugin

Comment Timeout; Como complemento a Akismet es perfecto. Permite cerrar los comentarios en entradas antiguas, tanto a nivel global, como en cada entrada individualmente. También funciona con los “pingbacks” o “trackbacks”. Web del plugin.

WordPress Backup (BTE); Realizar una copia de seguridad de vuestro tema actual, uploads, imágenes, el tema actual, etc en un directorio (formato .zip) también hay una opción para enviarlo todo por e-mail. Web del plugin.

WordPress Database Backup; Como complemento al anterior, realizar backups de vuestra base de datos (incrementales) y además, tiene la opción de poder enviarlos por e-mail. Web del plugin.

Automatic WordPress Backup; Según nos sugiere e informa en los comentarios Rastreador “Este plugin realiza backups periódicos de tu instalación de WordPress contra un servidor S3 de amazon”. Web del plugin.

WP-DBManager; al igual que si desde vía SSH ejecutáis comandos MySQL como mysqlcheck -o (optimize) – c (check) -r (repair), este plugin hará lo mismo, ayudando a que vuestra base de datos esté siempre a punto. Web del plugin.

Stop Spammer Registrations Plugin; Aquí ya entramos en el tema de los blogs con registro de usuarios habilitado, previene y puede dejar en “cola” de aprobación, a los usuarios con correos o IPs que puedan estar marcados como “spammers” por StopForumSpam.com, Project Honeypot, DNSBL o BotScout. Web del plugin.

Además del comentado “Stop Spammer Registrations”, que ayuda con el Spam y usuarios potencialmente peligrosos puede estar bien usarlo junto a;

Cimy User Extra Fields; Posibilita la opción de reforzar el área de registro del blog, con campos personalizables, sistemas de verificación del registro, puedes ver en una lista de los usuarios pendientes de activar su cuenta, etc (ejemplo en Daboblog con otro parecido, Register Plus Redux). Web del plugin.

Wp Contact Form 7 + Really Simple CAPTCHA; Una buena opción de formulario de contacto junto a la función de Captcha del “Really Simple” para evitar Spam en el envío de correos. Web de WP Contact Form 7 | Web de Really Simple Captcha.

WP Hide Dashboard; También útil para blogs con registro de usuarios, remueve los campos innecesarios del perfil de usuario para que no pueda acceder a otras áreas administrativas. Web del plugin.

Login LockDown; Plugin para prevenir ataques de fuerza bruta contra el usuario / password. Por citar un ejemplo, puedes definir que con 3 intentos fallidos de “login”, se realice un bloqueo contra la IP durante 600 seg. Luego verás una lista de las IPs bloqueadas (pudiendo sacar alguna de esa “lista negra”. Web del plugin.

AskApache Password Protect; Un gran plugin que no estaba añadido, permite autenticación “HTTP Basic” o una más segura “HTTP Digest Authentication”. Te puede ayudar a bloquear Spam y conservar recursos de CPU, memoria, base de datos, etc. Puedes elegir un usuario y password para proteger además del login, directorios como wp-admin, wp-includes, wp-content, plugins, etc. Web del plugin.

Exploit Scanner; Puede ser útil en el caso de que vuestra instalación haya sido comprometida, para buscar en la base de datos, o ficheros, rastros de y huellas de un ataque (también busca en el CSS, HTML, etc). Ojo a los 128 mb de memoria. Web del plugin.

Secure WordPress; Múltiples funciones como pueden ser; remover la versión de WordPress, crear un archivo “index.php” en /themes o /plugins para evitar el listado de directorios, proteger vuestro WordPress contra peticiones de URL maliciosas, evitar que tanto WP a nivel de Core o sus plugins no se actualice salvo por administradores, remover de wp_head opciones como “Windows Live Writer” o “”Really Simple Discovery”" o remover informaciones de error en el login. Web del plugin.

Block Bad Queries (BBQ); Ayuda como el anterior a proteger WordPress de peticiones de webs o IPs maliciosas, realiza un chequeo de cadenas excesivamente largas (por ej mayores de 255 caracteres) , también controla peticiones URI / “Base 64″, etc. Web del plugin

WP-Sentinel; Además de un sistema de bloqueo de IP, alertas al usuario en caso de ataque, etc, protege la instalación de algunos ataques tan comunes como; “Cross Site Scriptings, HTML Injections, Remote File Inclusions, Local File Inclusions, SQL Injections, Cross Site Request Forgery, Login bruteforcing, Flooding“. Web del plugin.

WP Security Scan; Realiza un chequeo de tu WordPress buscando posibles vulnerabilidades y sugiere acciones correctivas en campos como; passwords, permisos de ficheros, seguridad de tu base de datos, oculta la versión de WP, protección para la zona de administración y remueve la etiqueta ” WP Generator META” del “core” de WP. Web del plugin.

AntiVirus for WordPress; Su función es realizar búsquedas diarias con reportes vía mail de en vuestro WP por si hay algún script o llamada maliciosa, protege de ciertos exploits e inyecciones de spam. Otra protección contra el malware en vuestro blog. Web del plugin.

Mutex; (tal y como publican en Security By Default) “Es un plugin para WordPress que incorpora PhpIds y además, lo integra perfectamente en WordPress permitiendo su administración desde el panel de gestión”. Web del plugin.

Además de todo esto, os recomiendo dar un vistazo a esta entrada del mes pasado en DaboBlog sobre “Web Site Defender“, un servicio muy interesante para controlar instalaciones de WordPress. Y recordad borrar el readme.html que da la versión !

Espero que os sea de utilidad, partiendo de la base que siempre se podrán encontrar brechas de seguridad en un sistema remoto y, que ese concepto de la “seguridad total” es sólo eso, un concepto, estas acciones os ayudarán a estar “un poco más tranquilos”, saludos ;).

Tags: Apache, Ataques, backup, Blogs, Exploit, Malware, nmap, Plugins, Spam, webs, Wordpress

Hace unos días, tuve la oportunidad de participar en la “Jornada de Seguridad Informática” organizada por “Area Tic” en Oviedo. Antes que nada, dar las gracias a los impulsores del evento y asistentes por invitarme a asistir y compartir experiencias junto a otros profesionales del sector (Garrigues Abogados, Cobertura Informática y el responsable de delitos telemáticos de la Guardia Civil de Oviedo). Vaya mi más cordial saludo desde aquí.

Mi ponencia tenía una duración de 20 minutos y hablé de (IN) Seguridad en la PYME. Me centré en algún caso vivido en primera persona como puede ser en este blog y el post sobre Gmail, Google Apps y Twitter, como un ejemplo de algo tan de moda como es la “reputación online” y cómo pueden llegar a afectar a empresas tan grandes ciertas opiniones y blogs tan pequeños dentro del “mundo blog” como es este.

También cité algún ejemplo vivido en primera persona bien con las labores de consultoría que llevo a cabo desde davidhernandez.es, o como parte del equipo de APACHEctl llevando el área de Hacking Etico. Hablé de cómo un sólo equipo en red, puede afectar a toda una infraestructura empresarial, convirtiéndola en parte de una botnet en base a una infección que bien podía haber sido evitable tanto por las medidas de protección instaladas (que no eran las adecuadas), como por parte de un empleado víctima de un engaño a través de la descarga de un fichero (visor de vídeo) malicioso. Aquí suscribiría mis palabras de no hace mucho tiempo, acerca del poco interés de las empresas en dotar a sus empleados de una cultura de la seguridad informática que vende menos que el “Social Media” o el Marketing de siempre.

Tuve tiempo para exponer un ejemplo de ataque por “ingeniería social” con el fin de conseguir el código de desbloqueo a un “Smartphone” supuestamente olvidado (haciéndome pasar por alguien de la oficina de objetos perdidos y aprovechando que el móvil tenía un logo corporativo visible aún con el bloqueo), sobre medidas de protección en ese tipo de dispositivos que hoy en día son como una extensión de nuestra oficina, además de otros como lápices de memoria, portátiles, etc.

Para acabar, recordé un caso no muy lejano hablando de auditorías de seguridad, en el que, por cuestiones de la LOPD, un sólo fichero que no estaba donde debía estar, podría comprometer a nivel legal (y cerrar llegado el caso) a una ya no pequeña, sino mediana o gran empresa. También de la LSSICE, etc.

Pero sobre todo, cada vez que vas a un evento de este tipo, te das cuenta de lo complejo que es para cualquier PYME cumplir las diferentes normativas vigentes y más cuando operan en entornos web, algo muy habitual hablando de “Comercio electrónico” y la gran cantidad de empresas que llevan su modelo de negocio a La Red o lo complementan desde una tienda virtual u otros sistemas.

Creo que existe un “vacio” entre la parte legal (diferentes normas ISO, LOPD, etc), técnica (Redes, soluciones anti-malware, software instalado, soporte) y en cómo realizar un plan de actuación “real” ante los diferentes escenarios hablando de seguridad a los que se enfrenta una PYME en la actualidad si nos referimos a la Gestión de la Seguridad de la Información (SGSI).

Y es que, además de intentar cumplir en este caso por ejemplo con la ISO/27001 (que puede servir para todas las series “27000″) por aquello de “conseguir la certificación”, habría que ir más allá del marco jurídico o de las propias certificaciones para pensar que una empresa que dote de buena formación a sus empleados, tendrá mucho más fácil intentar cumplir con toda la normativa vigente y certificarse de un modo más sólido, pero sobre todo, evitarse “sustos” y de los buenos en medio de esos procesos. De todos es sabido que el eslabón más débil en la cadena de la seguridad es el ser humano, cualquier fleco o cuestión sin pulir puede acarrear a esa empresa multas que según las cuantías, acabarían forzando un “cerrojazo” por no poder afrontarlas.

Creo que no es lo mismo que le digas a un empleado (que no está de más); “Ojo con no poner la opción con copia oculta cuando envías correos masivos que igual nos meten 3.000 € de multa“, a que le enseñes cómo tiene que hacer un uso racional de las nuevas tecnologías. No digamos en puestos como “Recursos Humanos”, donde se manejan datos potencialmente críticos si hablamos de la LOPD ¿de qué sirve realizar todos los pasos que dictamina la Agencia de Protección de Datos, si ese empleado no sabe por dónde tiene que navegar o no, que ficheros puede instalar en su equipo, o lo que supone “hacer click” en un enlace que secuestra su sesión de usuario vía un ataque de phishing?

El problema es que cada vez aprietan más a la PYME con normativas y leyes cuasi-imposibles de cumplir (también nos pasa a muchos blogs / webs) en momentos difíciles y se sobrecarga de trabajo a empleados que realizan otras tareas para implementar las correspondientes certificaciones, luego, el resto de la plantilla lo ve como el típico rollo que hay que cumplir “por que sí” y se puede dar el caso de que estén todos los procedimientos escritos, pero, o nadie sepa llegado el caso dónde están, o cómo aplicarlos con efectividad.

Si tienes todos “los deberes hechos” y luego tu extranet está alojada en un servidor potencialmente vulnerable, alguien con responsabilidad en la empresa se conecta a esa extranet desde conexiones que no son seguras o por la primera Wi-Fi que encuentra, el software no está debidamente actualizado, no se cifran los ficheros o datos más comprometedores, en las mesas de los despachos están desde contraseñas de usuario, fichas o datos de clientes al alcance de cualquiera, no se protegen los dispositivos móviles como se debería hacer y no se intentan “romper” mediante una auditoría todas las medidas puestas en marcha, las certificaciones no serán más que bonitos cuadros o estatuillas colocadas en los despachos…

Quizás algún día, la gente empiece a ver la seguridad informática, como un activo hoy en día para la empresa mayor aún que los muchos cursos (sí, a veces obligatorios por parte de multinacionales o franquicias) de ventas, marketing, etc. La (IN) Seguridad es algo “vivo” que va por delante de cualquier certificación o normativa. En un escenario como el actual, la prevención, rapidez de respuesta y formación, pueden ser nuestros mejores aliados. Seguridad “real” y actual como apoyo a las diferentes empresas de certificación / adecuación.

Tags: Cursos, formación, Hacking, Legal, LOPD, LSSI, Malware, Redes, Seguridad Informatica

#Disclaimer; Esta entrada debe ser considerada como un post o reflexión seguramente paranoide y bajo ese aviso (cuidando la salud mental de quienes tenéis a bien seguirme;) debe ser leída.

#Actualización, me han llamado hoy 27 de Septiembre desde Google (Irlanda) para aclararme el caso, concretamente la persona que añadió nuestras cuentas (Cristian) dándome una explicación. Lo pongo en los comentarios del post.

El título quizás es algo “novelesco”, también buscando quitarle trascendencia a algo que puede ser (como seguramente es) fruto de la casualidad, o para dejar la pregunta final a vuestro criterio. Para responder a esa pregunta; ¿Casualidad, causalidad o inseguridad? os pondré en antecedentes.

Mi colega Salva, mejor “Xsas” para los habituales del blog, y yo (a quien le comenté que quizás escribiría algo sobre el tema entre risas y sensación de “uhmm” -;), nos cruzamos un par de correos hablando de cómo hacer un backup de la cuenta de un cliente con su correo y otros datos funcionando bajo Google Apps (servicio proporcionado por Google).

Aclaro que no hubo conversación previa vía Twitter del tema, sólo por correos electrónicos, en ambos casos cuentas de Gmail / Google Apps lo que viene a ser lo mismo. El detalle de que ni en público ni en privado, comentamos nada en Twitter, tiene su peso para la sensación de “conspi-paranoia” que sufrimos en ese momento ;D.

Bien, hasta ahí todo normal, nuestra “extrañeza” llego cuando pasada más o menos una hora del último envío de correo, nos llegó un aviso casi a la vez, de que la cuenta oficial de Google Apps España nos estaba siguiendo en Twitter…Si os fijáis en la lista de a quien siguen, tal y como se ve en la captura de pantalla, efectivamente están las dos seguidas, primero la mía y luego, la cuenta de Quadux que es de Salva.

Cuando recibimos el aviso de Twitter, casi a la vez, vía mail nos cruzamos un “hostia” ¡Qué casualidad ! y ciertamente aquí puede haber opiniones para todos los gustos, ahí quedan 3 de las muchas opciones posibles.

Como dato adicional, he de decir que hace cerca de un mes escribí en Twitter algo así como “no uses como cuenta de admin tu cuenta personal en Google Apps” (para que, en el caso de un acceso no autorizado, puedas recuperar tu cuenta “normal”, aconsejaba hacer otra con un nombre “enrevesado” y administrar Google Apps desde esa). Puse como “hashtag“ (#) GoogleApps.

¿Casualidad?

Una mera casualidad, el súper algoritmo “Panda” de Google o los responsables de la cuenta de Google Apps España van buscando temas sobre administración de sistemas, la gestión de cuentas de Google, “hastags” o menciones que contengan “GoogleApps”, etc y encuentran lo que escribí en Twitter sobre Google Apps, “ven” la relación entre la cuenta de Salva y la mía y nos siguen a ambos. Sería lo normal pero ¡ qué casualidad ! que sea después de los mails. Aunque de eso van las casualidades ¿no?

¿Causalidad?

Causa-efecto. En los dos mails que nos enviamos, Salva y yo estábamos usando cuentas de Gmail / Google Apps, como dentro de los mensajes se hacía mención a Google Apps, su súper algoritmo (modo <conspi-paranoide> ON ;) rastrea las palabras, el mensaje viaja por Matrix y llega a “su sitio” en Google, acto seguido, (en una hora) nos sigue su cuenta de Google Apps España en Twitter. Sería algo muy factible en lo técnico a la par que más que censurable en cuanto a la privacidad.

¿Inseguridad?

 Este último punto vendría a colación si la respuesta fuese “causalidad“. Muchas veces, comentamos la gran cantidad de datos que maneja Google sobre todos nosotros (y muchas otras empresas) así como de los usos que hacen de datos “cruzados” las compañías. Bien para ofrecernos algún servicio determinado, saber nuestras preferencias de navegación, lugares visitados, etc (aquí se podría hablar de las cookies). Aunque no es menos cierto, que el administrador de tu correo, también puede leerlo sin llamarse Google…

Os comento que esta entrada ha estado como “borrador” durante unos días, esperando a que pasase un poco el tiempo para intentar quitarle trascendencia, sólo con el título escrito y con todos los papeles de no pasar de “borrador”. Pero también que, aún con las risas que nos echamos Salva y yo respecto a lo sucedido, uno se queda con “la mosca detrás de la oreja” como se suele decir. Si me preguntáis sobre mi respuesta, diría que claramente se trata de una casualidad, pero en este negocio de “los unos y ceros“, hay artistas (del código-;) que pueden convertir las “casualidades” en inquietantes “realidades” (y viceversa).

Tags: backup, Dabo, Gmail, Google, Google Apps, Seguridad Informatica, Sistemas, Twitter

Cuando el amigo Alejandro Corletti te envía un e-mail, ya sabes que es sinónimo de buen material. Tanto aquí como en Daboweb, más de una vez nos hemos hecho eco de sus trabajos y el que hoy os recomiendo, es sencillamente impresionante. En este caso con un prólogo y presentación firmado por Arturo Ribagorda Garnacho y Jorge Ramió Aguirre.

En el libro “Seguridad por niveles” (Con licencia Copyleft) se da un excelente repaso a lo que alguien interesado en redes o seguridad informática puede necesitar, desde las capas más bajas del sistema (Modelos OSI, DARPA, etc) a las más altas, desgranando el protocolo TCP-IP, pasando por el análisis de tráfico de red (algo que hace muy bien nuestro gran colaborador y redactor de Daboweb Alfon de “Seguridad y Redes“) con herramientas como Wireshark, tcpdump, etc además de introducirnos en el mundo de los “sniffers”. Hablando de estos temas, puedes ver el gran trabajo que está realizando Alfon en Daboweb desde este enlace con su saga “Análisis de capturas de Red“.

En el libro también se habla también de; ARP, ICMP, IGMP, DHCP, IPV6, DNS, Telnet, FTP, SSH, SMTP, SSL-TLS, los Honey Pots, Criptografía, PKI, etc, además de cómo se pueden detectar vulnerabilidades en estos protocolos así como los procesos por los cuales se pueden ver comprometidos (ARP o DNS Spoof).

Hay un capítulo dedicado a los IDS (Sistemas de detección de intrusiones) y no podían faltar en un libro como este herramientas Open Source tan populares y efectivas como Snort, Nikto, OpenSSH, Netcat, Nmap, Iptables y un largo etc.

Al final del libro podrás encontrarte con capítulos en los que se habla de auditorías de seguridad, la familia ISO 27000 (sistema de gestión de la seguridad de la información), IPsec o lo que es un Plan de Continuidad de Negocio.

En definitiva, una guía bajo mi punto de vista que resume muchos aspectos imprescindibles para aficionados y profesionales tanto de la gestión de sistemas, redes o seguridad desde la base hasta niveles más altos en cuestiones técnicas.

Muchas gracias Alejandro una vez más por tu aportación a la comunidad, la forma de distribuir tu libro y tu profesionalidad -;).

Acceso a la información sobre el libro en darfe.es

Descarga directa del libro en PDF (709 páginas, 22 mb).

Tags: Creative Commons, Ebooks, Hacking, iptables, Libros, nmap, Open Source, Redes, Seguridad Informatica, Sistemas, SSH

Sobre estos temas suelo escribir más en Daboweb, pero también aquí en DaboBlog les presto atención, por mucho que a veces pueda sonar a algo un tanto recurrente. Podíamos llamar “huérfana“ a esa cuenta que abriste “ese día” para “aquel servicio” y salvo un para de veces, no lo volviste a usar. Es un error muy común en el que todos acabamos cayendo alguna vez, el problema es que te olvidas y un día ves tu correo y password publicados en algún lugar como “Pastebin Leaks”

Cierto es que quizás ahora tus passwords son más sólidos que en esa época, quizás tu correo también ha cambiado,  pero no está de más rebuscar y volver un poco atrás en el tiempo para cerrar registros en algún caso, cambiar esas viejas k0ntrA$3ñ@$ (un pequeño ejemplo) o replantearte si ese registro está realizado adecuadamente (de ahí lo de “mal creadas“). Vamos a desarrollar un poco el tema…

Hace unos días, en mi cuenta de Twitter dejé a modo de consejo un;

“No uses como cuenta administrativa de Google Apps tu cuenta habitual o pública“.

¿Los motivos? en el caso de que tu cuenta se vea comprometida siempre tendrás otro usuario como admin (créalo con un nombre totalmente imposible de relacionarlo contigo) para poder en un momento de urgencia, cambiar rápidamente el password, o recuperar la cuenta.

Otra de las ventajas de Google Apps, es que no se puede recuperar un password vía la opción de recuperación de Gmail, sólo el administrador puede, por lo que creo que queda claro el motivo de usar una cuenta sin privilegios y otra para administrar (tal y cómo haríamos en nuestros equipos).

Quizás a eso me refiero con lo de “replantearte si ese registro está realizado adecuadamente”. Pero vamos a ir algo más allá, muchos problemas de seguridad de usuarios con una actividad media/baja en Internet, pero que afectan más a gente con perfiles un tanto ¿públicos? o relevantes (tienes una comunidad a tu cargo, blog de peso, foro o empresa), se verían reducidos si al realizar los registros en el “servicio 2.0 de turno”, se utilizase una cuenta de correo electrónico que no pueda ser asociada a tu persona en el caso de que los datos de esa cuenta (de PayPal por citar un ejemplo) acaben siendo públicos.

¿Las razones para ello? obviamente si lo piensas desde un punto de vista lógico, no es lo mismo que acabe siendo expuesta pepit0p3rez44@yahoo.es y un password determinado (que sí, obviamente te puede generar un problema) a que se vea expuesto tu “nick” o “nombre de guerra” (incluso el real, como ejemplo Google +) en La Red, junto a un correo que te identifique y un password…

La cadena de problemas que pueden surgir a partir de cuestiones como esta, puede ser larga y complicada para quien lo padece. Hablando de particulares, la posible explotación de otros servicios web caso de que uséis el mismo password o e-mail (algo totalmente desaconsejable, pero aún a sabiendas de ello, por pereza le pasa a mucha gente). También lo que ahora se llama “pérdida de reputación online“, hablando de empresas pero también de usuarios con proyectos en los que participan terceros, etc.

Y aquí podríamos recordar también la necesidad de que los “correos de recuperación” no se elijan a la ligera, puedes llegar a sorprenderte si revisas como fue mi caso cuentas que tenían más de 5 años. Está claro que a nadie le agrada “parar” y dejar de hacer lo que te gusta para ponerte a revisar cuentas, servicios, passwords, correos, etc, pero una vez que lo vas haciendo, te vas dando cuenta que tu seguridad va en aumento. Eso sí, aquí nadie está libre de pasar un día por ello, la cuestión que si se da el caso, el impacto sea el mínimo posible (quien suscribe/escribe el primero -;).

Tags: Gmail, Google, Hacking, Internet, Password, Seguridad Informatica