DaboBlog

Después del éxito del número “0″, (cerca de 23.000 descargas) mis amigas de Hackers & Developers vuelven con fuerza (cumpliendo con las fechas, no como el que escribe / suscribe ;) y tenemos ya para descargar el nº 1 de su más que recomendable Magazine con estos contenidos:

Este mes en Hackers & Developers…

Pásate a GNU/Linux con Arch Linux: Parte I     (pág 3)
Guifi.net: la red abierta libre y neutral      (pág 10)
La importancia del shell, vi y regex           (pág 14)
Los impresionantes archivos .PO – l10n de GNOME (pág 19)
Google Maps API: Primeros Pasos         (pág 25)
THREE.JS ¿va a hacer todo eso por mi         (pág 32)
Arquitectos y diseñadores, los roles opcionales (pág 36)
Programador: Si. Diseñador: ¡Ni de riesgos!    (pág 42)
PSeInt: Una invitación para empezar a programar (pág 44)
¿Qué son los Namespaces?             (pág 48)
Manual de MVC: (1) FrontController         (pág 54)
U! – Respondiendo a los lectores         (pág 63)

Descarga del número 1 y más info.

Mi más sincera enhorabuena a todo el equipazo (sólo recordar que está, cómo no podía ser de otro modo nuestra “Euge” de DebianHackers ;). Esperamos con ganas el número 2 !! (y quizás hago un pedido en vuestra “store” para la espera entre número y número ;D).

Tags: Cibercultura, Hackers & Developers, Hacking, magazine, Programacion

En esta ocasión, vamos con un episodio especial sobre Fluxbox con Debish, compañero de DebianHackers, autor del blog Debianeando y al que también le le podéis seguir en su Twitter (Debianeando) o en Identi.ca (Debish). Hay vida más allá de GNOME, KDE, XFCE, Unity, etc, también otras formas de ordenar vuestras aplicaciones, gestionar y aprovechar de una forma más eficiente cada milímetro de vuestro escritorio, de eso trata este podcast.

Desde aquí, tengo que darle las gracias por lo bien que lo ha preparado y la paciencia cuando quieres explicar algo que se entiende mejor de forma escrita. Hablo de los textos que acompañan al audio en esta segunda grabación (hubo una fallida hace unos meses) en la que no hemos tenido ningún problema ;).

Tal y como digo en el podcast, es muy importante si queréis conocer e ir probando las opciones comentadas en este especial, visitar los enlaces que ha preparado Debish y leer el texto que se ve más abajo a modo de toma de contacto con los ficheros de configuración que se citan en el audio.

Estamos en plena fase grabación del podcast 37 (falta “Manzanas”) y sobre mediados de mes lo publicaré para espaciarlo de este especial Fluxbox. Así que…buen verano y nos volvemos a escuchar pronto !

Contenidos incluidos; Duración 1,31 h

(Por David Hernández, Dabo y Debish)

> Kernel Panic “Especial Fluxbox”

En Twitter; Dabo y Debianeando. (Debajo del audio, texto de apoyo y links).

Leer el resto de;”DaboBlog Podcast, “Kernel Panic” Especial Fluxbox”

# Introducción y enlaces recomendados para su lectura.

Ya he hablado antes en DaboBlog de seguridad y WordPress. No hace mucho, publiqué en mi cuenta de Twitter un enlace con el título “Hardening WordPress” (la guía oficial de WordPress para fortificar instalaciones de WordPress). El amigo Jordi Prats de “System Admin”, escribió un artículo “Configuración segura de Apache para WordPress“, con el fin de evitar el listado de plugins frente a una auditoría realizada con nuestro querido Nmap (vía el script http-wp-plugins para nmap)

En el caso de Jordi, fue a raíz de un post muy interesante de Chema Alonso (de “El lado del mal”) en el que realizaba un ataque de este tipo, con algún tip más (por ejemplo el típico error del listado de directorios en Apache y entrar “hasta la cocina”).

Pero tenía pendiente esta entrada sobre este tema y está dedicada especialmente a Dani de “El Arca de la alianza” ya que en alguna ocasión me lo había comentado, y era algo en “pendiente” desde que grabé con él un podcast sobre “Iniciación a la seguridad informática”.(y a ver si retomas la publicación bandido;).

Sobre todo esto se ha escrito por supuesto mucho y muy bien en otros blogs, pero destaco y recomiendo leer los enlaces a las entradas de WordPress.org, Jordi , Chema, Security By Default y Oreixa (con esos seis enlaces ya tenéis una buena hoja de ruta para empezar) ya que me parece que todo puede ser complementario. También citaré alguno útil en el caso de que tengáis el registro de usuarios activado en vuestro blog.

Además de cuestiones como proteger la cuenta de admin (o cambiar el nombre), tener passwords potentes (y cambiarlos), habilitar incluso el acceso por SSL al área de administración (Oscar Reixa habló de ello y publicó una entrada de la parte que tocó de WordPress junto a mi en el FIMP 2010) o una configuración de PHP para que en el caso de que haya algún fallo en la ejecución de una función o un plugin (display errors “off”) para que no revele el “path” o ruta de la instalación de WordPress (un tema publicado no hace mucho en Security By Default, recomendable su lectura). Sobre cuestiones de seguridad, servidores web y Apache (que está todo relacionado), quizás os sirva también de ayuda el resumen de mi participación en el FIMP de Gijón (2010).

# 21 Plugins para dotar a WordPress de más seguridad.

#Actualizado, gracias por vuestras sugerencias ;)

 Vamos a pensar que no todo el mundo tiene acceso vía SSH para controlar su servidor, puede estar en un hosting compartido y creo que sobra decir que si no tenéis vuestra instalación, temas en algún caso y plugins actualizados, de poco servirán muchas de las medidas de prevención comentadas.

Akismet; Todo un clásico, poco hay que hablar de él, salvo que conviene mirar de vez en cuando los comentarios o “trackbacks” ya que no es muy difícil ver “falsos positivos” y más cuando alguien en un comentario alguien mete más de 3 enlaces como se puede configurar en “Ajustes-Comentarios”). Web del plugin

Comment Timeout; Como complemento a Akismet es perfecto. Permite cerrar los comentarios en entradas antiguas, tanto a nivel global, como en cada entrada individualmente. También funciona con los “pingbacks” o “trackbacks”. Web del plugin.

WordPress Backup (BTE); Realizar una copia de seguridad de vuestro tema actual, uploads, imágenes, el tema actual, etc en un directorio (formato .zip) también hay una opción para enviarlo todo por e-mail. Web del plugin.

WordPress Database Backup; Como complemento al anterior, realizar backups de vuestra base de datos (incrementales) y además, tiene la opción de poder enviarlos por e-mail. Web del plugin.

Automatic WordPress Backup; Según nos sugiere e informa en los comentarios Rastreador “Este plugin realiza backups periódicos de tu instalación de WordPress contra un servidor S3 de amazon”. Web del plugin.

WP-DBManager; al igual que si desde vía SSH ejecutáis comandos MySQL como mysqlcheck -o (optimize) – c (check) -r (repair), este plugin hará lo mismo, ayudando a que vuestra base de datos esté siempre a punto. Web del plugin.

Stop Spammer Registrations Plugin; Aquí ya entramos en el tema de los blogs con registro de usuarios habilitado, previene y puede dejar en “cola” de aprobación, a los usuarios con correos o IPs que puedan estar marcados como “spammers” por StopForumSpam.com, Project Honeypot, DNSBL o BotScout. Web del plugin.

Además del comentado “Stop Spammer Registrations”, que ayuda con el Spam y usuarios potencialmente peligrosos puede estar bien usarlo junto a;

Cimy User Extra Fields; Posibilita la opción de reforzar el área de registro del blog, con campos personalizables, sistemas de verificación del registro, puedes ver en una lista de los usuarios pendientes de activar su cuenta, etc (ejemplo en Daboblog con otro parecido, Register Plus Redux). Web del plugin.

Wp Contact Form 7 + Really Simple CAPTCHA; Una buena opción de formulario de contacto junto a la función de Captcha del “Really Simple” para evitar Spam en el envío de correos. Web de WP Contact Form 7 | Web de Really Simple Captcha.

WP Hide Dashboard; También útil para blogs con registro de usuarios, remueve los campos innecesarios del perfil de usuario para que no pueda acceder a otras áreas administrativas. Web del plugin.

Login LockDown; Plugin para prevenir ataques de fuerza bruta contra el usuario / password. Por citar un ejemplo, puedes definir que con 3 intentos fallidos de “login”, se realice un bloqueo contra la IP durante 600 seg. Luego verás una lista de las IPs bloqueadas (pudiendo sacar alguna de esa “lista negra”. Web del plugin.

AskApache Password Protect; Un gran plugin que no estaba añadido, permite autenticación “HTTP Basic” o una más segura “HTTP Digest Authentication”. Te puede ayudar a bloquear Spam y conservar recursos de CPU, memoria, base de datos, etc. Puedes elegir un usuario y password para proteger además del login, directorios como wp-admin, wp-includes, wp-content, plugins, etc. Web del plugin.

Exploit Scanner; Puede ser útil en el caso de que vuestra instalación haya sido comprometida, para buscar en la base de datos, o ficheros, rastros de y huellas de un ataque (también busca en el CSS, HTML, etc). Ojo a los 128 mb de memoria. Web del plugin.

Secure WordPress; Múltiples funciones como pueden ser; remover la versión de WordPress, crear un archivo “index.php” en /themes o /plugins para evitar el listado de directorios, proteger vuestro WordPress contra peticiones de URL maliciosas, evitar que tanto WP a nivel de Core o sus plugins no se actualice salvo por administradores, remover de wp_head opciones como “Windows Live Writer” o “”Really Simple Discovery”" o remover informaciones de error en el login. Web del plugin.

Block Bad Queries (BBQ); Ayuda como el anterior a proteger WordPress de peticiones de webs o IPs maliciosas, realiza un chequeo de cadenas excesivamente largas (por ej mayores de 255 caracteres) , también controla peticiones URI / “Base 64″, etc. Web del plugin

WP-Sentinel; Además de un sistema de bloqueo de IP, alertas al usuario en caso de ataque, etc, protege la instalación de algunos ataques tan comunes como; “Cross Site Scriptings, HTML Injections, Remote File Inclusions, Local File Inclusions, SQL Injections, Cross Site Request Forgery, Login bruteforcing, Flooding“. Web del plugin.

WP Security Scan; Realiza un chequeo de tu WordPress buscando posibles vulnerabilidades y sugiere acciones correctivas en campos como; passwords, permisos de ficheros, seguridad de tu base de datos, oculta la versión de WP, protección para la zona de administración y remueve la etiqueta ” WP Generator META” del “core” de WP. Web del plugin.

AntiVirus for WordPress; Su función es realizar búsquedas diarias con reportes vía mail de en vuestro WP por si hay algún script o llamada maliciosa, protege de ciertos exploits e inyecciones de spam. Otra protección contra el malware en vuestro blog. Web del plugin.

Mutex; (tal y como publican en Security By Default) “Es un plugin para WordPress que incorpora PhpIds y además, lo integra perfectamente en WordPress permitiendo su administración desde el panel de gestión”. Web del plugin.

WordPress Firewall 2; Otro de esos que no pueden faltar y que bloquea múltiples peticiones potencialmente peligrosas para tu blog. Web del plugin.

Además de todo esto, os recomiendo dar un vistazo a esta entrada del mes pasado en DaboBlog sobre “Web Site Defender“, un servicio muy interesante para controlar instalaciones de WordPress. Y recordad borrar el readme.html que da la versión !

Espero que os sea de utilidad, partiendo de la base que siempre se podrán encontrar brechas de seguridad en un sistema remoto y, que ese concepto de la “seguridad total” es sólo eso, un concepto, estas acciones os ayudarán a estar “un poco más tranquilos”, saludos ;).

Tags: Apache, Ataques, backup, Blogs, Exploit, Malware, nmap, Plugins, Spam, webs, Wordpress

Cuando el amigo Alejandro Corletti te envía un e-mail, ya sabes que es sinónimo de buen material. Tanto aquí como en Daboweb, más de una vez nos hemos hecho eco de sus trabajos y el que hoy os recomiendo, es sencillamente impresionante. En este caso con un prólogo y presentación firmado por Arturo Ribagorda Garnacho y Jorge Ramió Aguirre.

En el libro “Seguridad por niveles” (Con licencia Copyleft) se da un excelente repaso a lo que alguien interesado en redes o seguridad informática puede necesitar, desde las capas más bajas del sistema (Modelos OSI, DARPA, etc) a las más altas, desgranando el protocolo TCP-IP, pasando por el análisis de tráfico de red (algo que hace muy bien nuestro gran colaborador y redactor de Daboweb Alfon de “Seguridad y Redes“) con herramientas como Wireshark, tcpdump, etc además de introducirnos en el mundo de los “sniffers”. Hablando de estos temas, puedes ver el gran trabajo que está realizando Alfon en Daboweb desde este enlace con su saga “Análisis de capturas de Red“.

En el libro también se habla también de; ARP, ICMP, IGMP, DHCP, IPV6, DNS, Telnet, FTP, SSH, SMTP, SSL-TLS, los Honey Pots, Criptografía, PKI, etc, además de cómo se pueden detectar vulnerabilidades en estos protocolos así como los procesos por los cuales se pueden ver comprometidos (ARP o DNS Spoof).

Hay un capítulo dedicado a los IDS (Sistemas de detección de intrusiones) y no podían faltar en un libro como este herramientas Open Source tan populares y efectivas como Snort, Nikto, OpenSSH, Netcat, Nmap, Iptables y un largo etc.

Al final del libro podrás encontrarte con capítulos en los que se habla de auditorías de seguridad, la familia ISO 27000 (sistema de gestión de la seguridad de la información), IPsec o lo que es un Plan de Continuidad de Negocio.

En definitiva, una guía bajo mi punto de vista que resume muchos aspectos imprescindibles para aficionados y profesionales tanto de la gestión de sistemas, redes o seguridad desde la base hasta niveles más altos en cuestiones técnicas.

Muchas gracias Alejandro una vez más por tu aportación a la comunidad, la forma de distribuir tu libro y tu profesionalidad -;).

Acceso a la información sobre el libro en darfe.es

Descarga directa del libro en PDF (709 páginas, 22 mb).

Tags: Creative Commons, Ebooks, Hacking, iptables, Libros, nmap, Open Source, Redes, Seguridad Informatica, Sistemas, SSH

Si bien es cierto que el libro data del año 2004, muchos de los artículos siguen siendo de gran utilidad para gente interesada en cuestiones de seguridad informática. De hecho y como se puede ver en Amazon, está a la venta por un precio de 34$.

El libro (600 páginas) está escrito por Tony Howlett y Publicado by Prentice Hall y forma parte de; “Bruce Perens’ Open Source Series“.

Entre muchos otros, se tratan tema como;

• Instalar un firewall open source usando Ipchains, Iptables, Turtle firewall, o Smoothwall
• Escaneo de puertos y testeo de vulnerabilidades.
• Uso de Nmap, Nlog, Nmap para Windows, Nessus y NessusWX
• Uso de sniffers y sistemas de detección de intrusos, (Tcpdump, Ethereal, Windump, Snort™, y Snort™ para Windows)
• Análisis y “tracking” de datos con Swatch, ACID y NCC
• Comunicaciones cifradas con PGP, GnuPG, SSH y Free S/WAN

Visto en Debian Admin. Descarga (yo lo he hecho desde el programa de afiliación de “Ubuntu Geek”, así se llevan algo)

Requiere dejar datos de registro, de todos modos, hay más formas de bajarlo con una simple búsqueda en Google).

También te puede interesar otro libro; Linux® Quick Fix Notebook- Free 696 Page eBook

• Build Linux file/print servers and networks from scratch
• Troubleshoot Linux and interpret system error messages
• Control every step of the boot process
• Create, manage, secure, and track user accounts
• Install, configure, and test Linux-based wireless networks
• Protect your network with Linux iptables firewalls
• Set up Web, email, DNS, DHCP, and FTP servers

Ya sabes, lecturas técnicas recomendables para este veranito que al menos en Gijón, no acaba de llegar -;)

Tags: Debian, Firewall, Hacking, Nessus, nmap, Open Source, PDF, Seguridad Informatica, Server, Sistemas, Ubuntu, Windows