DaboBlog

Primero fue Twitter…

Bueno, sobre lo de Twitter y el cambio de password vía web no voy a hablar mucho porque los habituales de DaboBlog lo sabéis. Ya hice la demo en el pasado FIMP, demostrando que se podía acceder (en el caso que presenté) con un cliente móvil con la contraseña antigua todo el tiempo que quisieras hasta que que cerrase la sesión (también lo mencioné en el 5EBloggers del ENISE e hice otra demo vía móvil a varios compañeros de mesa). A modo de recordatorio, en caso de pérdida de un móvil u otro dispositivo ya sabéis, o borrado remoto, o ir a Twitter y revocar el acceso a la aplicación. Aún cambiando vía web el password, seguirán conectados a tu cuenta.

Ahora Dropbox.

Leer el resto de;”[FAIL] Primero fue Twitter y ahora Dropbox. Cambias el password y hasta el “logout” sigues conectado.”

Compartir

Tags: Bugs, Dropbox, Hacking, nube, Password, Seguridad Informatica, Twitter

Sobre estos temas suelo escribir más en Daboweb, pero también aquí en DaboBlog les presto atención, por mucho que a veces pueda sonar a algo un tanto recurrente. Podíamos llamar “huérfana“ a esa cuenta que abriste “ese día” para “aquel servicio” y salvo un para de veces, no lo volviste a usar. Es un error muy común en el que todos acabamos cayendo alguna vez, el problema es que te olvidas y un día ves tu correo y password publicados en algún lugar como “Pastebin Leaks”

Cierto es que quizás ahora tus passwords son más sólidos que en esa época, quizás tu correo también ha cambiado,  pero no está de más rebuscar y volver un poco atrás en el tiempo para cerrar registros en algún caso, cambiar esas viejas k0ntrA$3ñ@$ (un pequeño ejemplo) o replantearte si ese registro está realizado adecuadamente (de ahí lo de “mal creadas“). Vamos a desarrollar un poco el tema…

Hace unos días, en mi cuenta de Twitter dejé a modo de consejo un;

“No uses como cuenta administrativa de Google Apps tu cuenta habitual o pública“.

¿Los motivos? en el caso de que tu cuenta se vea comprometida siempre tendrás otro usuario como admin (créalo con un nombre totalmente imposible de relacionarlo contigo) para poder en un momento de urgencia, cambiar rápidamente el password, o recuperar la cuenta.

Otra de las ventajas de Google Apps, es que no se puede recuperar un password vía la opción de recuperación de Gmail, sólo el administrador puede, por lo que creo que queda claro el motivo de usar una cuenta sin privilegios y otra para administrar (tal y cómo haríamos en nuestros equipos).

Quizás a eso me refiero con lo de “replantearte si ese registro está realizado adecuadamente”. Pero vamos a ir algo más allá, muchos problemas de seguridad de usuarios con una actividad media/baja en Internet, pero que afectan más a gente con perfiles un tanto ¿públicos? o relevantes (tienes una comunidad a tu cargo, blog de peso, foro o empresa), se verían reducidos si al realizar los registros en el “servicio 2.0 de turno”, se utilizase una cuenta de correo electrónico que no pueda ser asociada a tu persona en el caso de que los datos de esa cuenta (de PayPal por citar un ejemplo) acaben siendo públicos.

¿Las razones para ello? obviamente si lo piensas desde un punto de vista lógico, no es lo mismo que acabe siendo expuesta pepit0p3rez44@yahoo.es y un password determinado (que sí, obviamente te puede generar un problema) a que se vea expuesto tu “nick” o “nombre de guerra” (incluso el real, como ejemplo Google +) en La Red, junto a un correo que te identifique y un password…

La cadena de problemas que pueden surgir a partir de cuestiones como esta, puede ser larga y complicada para quien lo padece. Hablando de particulares, la posible explotación de otros servicios web caso de que uséis el mismo password o e-mail (algo totalmente desaconsejable, pero aún a sabiendas de ello, por pereza le pasa a mucha gente). También lo que ahora se llama “pérdida de reputación online“, hablando de empresas pero también de usuarios con proyectos en los que participan terceros, etc.

Y aquí podríamos recordar también la necesidad de que los “correos de recuperación” no se elijan a la ligera, puedes llegar a sorprenderte si revisas como fue mi caso cuentas que tenían más de 5 años. Está claro que a nadie le agrada “parar” y dejar de hacer lo que te gusta para ponerte a revisar cuentas, servicios, passwords, correos, etc, pero una vez que lo vas haciendo, te vas dando cuenta que tu seguridad va en aumento. Eso sí, aquí nadie está libre de pasar un día por ello, la cuestión que si se da el caso, el impacto sea el mínimo posible (quien suscribe/escribe el primero -;).

Compartir

Tags: Gmail, Google, Hacking, Internet, Password, Seguridad Informatica

Lo primero que os recomiendo antes de empezar a leer esta entrada, es dar un vistazo (los asiduos a DaboBlog ya lo conoceréis) a este post sobre el resumen de mi participación junto a Oreixa en el pasado EFIMP (Eset Foro Internet Meeting Point) de Gijón en el que hablo de diferentes tipos de ataques web y control del tráfico en nuestro servidor GNU/Linux con herramientas como Mod Evasive, Apache Status, Mod Security, Medusa, Whatweb, Pentbox, APF Firewall, etc.

Más que nada lo digo porque cuando hablamos de ataques de fuerza bruta, solemos dar prioridad (obviamente) a servicios como ssh con soluciones como fail2ban o DenyHosts tal y como reseño en esa entrada pero ¿qué pasa por ejemplo con el FTP u otros tan sensibles como el correo?

Ahí es donde entra en escena BFD, una herramienta más de los creadores de APF Firewall (que por cierto, su trabajo es impresionante, mirad la lista, tengo que probar LSM, Linux Socket Monitor)

¿Qué es y cómo actúa BFD?

BFD es una aplicación creada por Ryan MacDonald con licencia GPL que una vez instalada, se ejecuta por defecto cada 3 minutos en el cron, buscando en logs relevantes del sistema (/var/log/secure, /var/log/auth.log, /var/log/messages, esto puede variar según la distro) rastros de posibles huellas de ataques de fuerza bruta (fallos de autenticación) en servicios como courier, cpanel, exim, proftpd , pure-ftpd, sshd, etc.

¿Cómo actúa? una vez que localiza el ataque (por defecto el valor que viene en su configuración es “TRIG=”15″, 15 intentos) ejecuta un comando del sistema para bloquear el host que lo ha provocado (por defecto usa el bloqueo de APF Firewall, asumiento, erróneamente a mi modo de ver, que se tiene instalado APF, este es el comando (BAN_COMMAND=”/etc/apf/apf -d $ATTACK_HOST {bfd.$MOD}”)

Aspectos a tener en cuenta. (Probado en Debian Lenny)

Pero en ese valor, (BAN_COMMAND=) podéis usar comandos de iptables, Shorewall, etc, u otro del tipo BAN_COMMAND=”route add -host $ATTACK_HOST reject”. Eso queda a vuestra elección y depende de qué tengáis instalado en el servidor web.

En el fichero de configuración principal que está en; /usr/local/bfd/conf.bfd también se puede definir además de los intentos de bloqueo, comando para rechazar el host atacante y el resto de opciones, que se envíe un e-mail (EMAIL_ADDRESS=”aquí el mail”) avisando del ataque y posterior bloqueo.

Su instalación es muy sencilla, una vez descargado con tipear un ./install.sh es suficiente pero en mi caso, me daba este error en el cron; Error: bad minute; while reading /etc/cron.d/bfd . No era el tiempo de ejecución sino que ahí también va un valor referido al email que hay que rellenar al igual que en /usr/local/bfd/conf.bfd;

MAILTO=aquí el mail, por defecto vacío
SHELL=/bin/bash
*/3 * * * * root /usr/local/sbin/bfd -q

Por lo que además de incluir el mail en la configuración principal; /usr/local/bfd/conf.bfd, también deberéis tener en cuenta este campo a rellenar en el cron; /etc/cron.d/bfd.

Para ver que funciona correctamente, hablando del cron, os recomiendo tener una consola con el siguiente comando;

tail -f /var/log/syslog | grep -i bfd

Y si todo va bien y no os sale el error de “bad minute”, se debería ver cada 3 minutos esto;

Oct 16 21:24:01 server /USR/SBIN/CRON[5017]: (root) CMD (/usr/local/sbin/bfd -q)

Oct 16 21:27:01 server /USR/SBIN/CRON[5468]: (root) CMD (/usr/local/sbin/bfd -q)

Oct 16 21:30:01 server /USR/SBIN/CRON[5468]: (root) CMD (/usr/local/sbin/bfd -q)

También en /var/log hay un fichero que se crea referido a BFD (/var/log/bfd_log).

Lo último que os recomiendo, es que miréis bien tanto la documentación sobre BFD (Brute Force Detection) y como estamos viendo, leer tranquilamente los valores incluidos en el fichero de configuración principal (/usr/local/bfd/conf.bfd).

Este concretamente “syslog auth log path” puede variar, ya que por defecto incluye /var/log/secure y en Debian por ejemplo es /var/log/auth.log. A este tipo de detalles me refiero con mirar bien cada valor.

Además de todo esto, no paséis por alto comprobar las reglas (en /usr/local/bfd/rules) que incluye por defecto para las aplicaciones a proteger, borrando las que no tengáis en el sistema, o cambiando el valor “TRIG” para el bloqueo independiente deseado para cada servicio.

Si se escribe sin ningún parametro bfd en el prompt del sistema, veréis esto;

-s|–standard …….. run standard with output

-q|–quiet ……….. run quiet with output hidden

-a|–attackpool …… list all addresses that have attacked this host

Por defecto si os fijáis en la entrada del cron, se ejecuta con la opción “-q”, para ver la lista de IPs que han sido bloqueadas se usa el parámetro “-a”. Para comprobar su funcionamiento podéis usar Medusa con este comando para atacar una cuenta FTP;

medusa -h ip-host-a-atacar -u usuario_ftp -P passwords.txt -e ns -M ftp

Asumiendo que desde el directorio que estáis tipeando el comando, tenéis una lista de passwords llamada passwords.txt. (Podéis usar esta del proyecto Openwall aunque hay muchas y muy variadas).

Suerte con la instalación y espero que esta entrada os sea de ayuda para que deis menos vueltas que las que he dado yo para configurarlo, ciertamente no es que sea complicado, pero sí un poco farragoso por las conf que trae por defecto.

Compartir

Tags: APF, Ataques, Bash, BFD, Cpanel, Debian, e-mail, EFIMP, Firewall, FTP, GNU/Linux, iptables, Password, Proftpd, Server, Servidor Web, SSH

Aclaro antes de nada que no soy usuario de FaceBook, los motivos los expuse en esta entrada e incluso dediqué un post íntegro al tema de FB exponiendo mi punto de vista sobre el uso que se le suele dar, en detrimento a veces de los blogs personales.  Añado que del mismo modo que dejé de usar Twitter para volver pasado un tiempo, con FB no diré “de este agua no beberé” porque quizás “me ahogue” o se me atraganten las palabras. De ejemplos sobre estas cosas está lleno el archivo de DaboBlog -;).

Pero que no use este servicio, no quiere decir que dado el gran nivel de implantación que tiene, no siga de cerca sus evoluciones. Es casi imposible abstraerse o mantenerse totalmente al margen de un fenómeno de masas como el que nos ocupa.

Tal es la aceptación de FB, que si no fuese porque siendo linuxero uno ya sabe como es lo de pertenecer a una minoría, (a mucha honra y sin ningún complejo) seguro que pensaba que el “problema” o el “rarito” soy yo,  porque las cifras marean y el negocio, en términos de rentabilidad, es como para que muchos gurús del business “se lo hagan ver”.

Lo cierto es que no está nada mal sobre el papel esta nueva funcionalidad (existente desde hace tiempo) que FaceBook va a habilitar muy pronto para todas sus cuentas. Se trata del concepto OTP, acrónimo de “One Time Password”. Como diría un castizo, “passwords de usar y tirar“. Necesitas conectarte a FB, mandas un SMS en plan sorteo de la TV con el texto “otp” al 32665 (no sé si se cobrará, menudo-otro-más-negocio) y te llega a tu móvil una clave para usarla sólo una vez y con una duración estimada de 20 minutos.

Tres problemas muy comunes en cierto tipo de usuarios, unos porque pasan y otros porque no saben…

Esto, sobre el papel, solucionaría de un plumazo ese “viejo” problema del usuario de dejar su sesión abierta en ordenadores públicos (y mira que es fácil darle a “logout”-”desconectar”-”cerrar-sesión”;). También, al ser una clave temporal, ese mismo usuario que “a veces” deja sin cerrar su sesión, puede que solucione otro problema conocido.

Sí, ese que se da cuando usas una red wifi abierta alegremente (y encima lo tuiteas) en la que puede que un sniffer esté capturando tráfico en plan industrial. Con el “OTP” de FaceBook, quizás tengas suerte y durante esos 20 minutos de uso te libres o, cuando acabe el esnifado de paquetes, antes del volcado-análisis posterior, la clave haya caducado.

Asimismo, el posible tercer problema de este tipo de usuarios (no exagero, ni es nada peyorativo, lo he visto) que no es otro que darle compulsivamente al recuadro de “recordar mi contraseña”, también quedaría resuelto ya que, pasados esos 20 minutos (teóricamente) con esa clave no se podría hacer nada (me gustaría saber el tiempo medio de sesión por usuario en FB, sinceramente no tengo ni idea).

Y los usuarios que pasan, seguirán pasando…

Y podría seguir pero el post sería demasiado largo para llegar a la misma conclusión por mi parte. En mi opinión, a ese tipo de usuario sinceramente no le veo enviado un SMS a FaceBook para iniciar una sesión “segura” en un ordenador público, lo entrecomillo ya que el término “ordenador público” es algo en contraposición a “seguro”.

Es más, esta medida (muy acertada, bien por FB en este caso, ojo,  siempre que sea sin coste) la veo más bien para usuarios que normalmente no se conectan a lugares como FaceBook o Gmail en ordenadores públicos o redes sin cifrado de ningún tipo. La veo para gente que se preocupa por la seguridad mínimamente y que intentan hacer un uso responsable de los servicios donde se almacenan datos personales.

Oye, “me dejas un momento el móvil para ver una cosa”

A los usuarios que pasan de todo, usando esta Web 2.0 tan “amiga y sociable” que nos venden alocadamente y luego son los que más se quejan del servicio que reciben (sí, esto es curioso, los que más pasan son a veces los que más se quejan), les veo más bien intentando cogerle a su pareja-jefe-amigo-amiga de turno el móvil para enviar el SMS y pillar fuera de juego a sus “objetivos”.

Este es otro detalle también muy curioso, no utilizarían para ellos mismos jamás este servicio, pero en cambio, el otro uso (y más con la picaresca nacional siempre tan en alza) les viene a la mente en el minuto “0,5″.

Usuarios y “usuarios”…

Hay gente que pasa de todo, se queja mucho sin aportar nada y no pone ningún interés y en cambio, hay otros “usuarios” que por motivos de otra índole (darían para otro DaboBlog entero), no pueden adquirir unos mínimos conocimientos para usar hoy en día Internet con unas mínimas garantía de privacidad.

Esos intentan hacer las cosas bien (como vemos muchas veces en nuestros foros de ayuda en Daboweb) y les suceden continuamente casos como los tres que reseño arriba; sesiones que no se cierran, uso de redes sin cifrar, almacenar passwords, aunque podría ir un largo etc, pero no porque pasen de todo, sino porque no han cogido bien el concepto o porque les falta una base sólida en cuestiones informáticas.

Lo de siempre, eso tan comentado-olvidado de la educación...

Quizás algún día, alguien se empiece a tomar en serio la estrecha relación existente entre la vida real y electrónica, ese día, en las escuelas, los lugares de trabajo o el “hogar del jubilado”, igual se empieza la casa por los cimientos y se le explica a ese futuro usuario que, antes de conectarse a FaceBook, mandar un correo o contratar un viaje por Internet, lo importante es que por no proteger tu correo, te revienten la cuenta de FaceBook y contraten un viaje online pero con tu tarjeta de crédito y no a tu nombre desde luego…

Recomendada, para este tipo de usuarios la charla de Kids en el interqué (quedan plazas)

Compartir

Tags: Cibercultura, Facebook, Internet, Opinión, Password, Redes, Seguridad Informatica

Acabo de escribir la entrada en Daboweb y creo que lo lógico es que lo leáis allí. No es algo realmente grave pero si bastante molesto por la posibilidad de resetear continuamente por parte de terceros el password de un usuario en WordPress.

La info en Daboweb y como se soluciona el tema hasta que salga estos días la versión 2.8.4.

(PDTA; Sigo de vacaciones -;)

Compartir

Tags: Blogs, CMS, Exploit, Password, Seguridad Informatica, Wordpress

Hace unos días os comenté algo acerca de una nueva versión de BackTrack, distribución como sabéis de GNU/Linux orientada a la seguridad (o el hacking, que para mi, es lo mismo) y que cuenta con casi todo lo necesario para poner a prueba la fortaleza de sistemas, claves locales o remotas, servidores web,etc, etc y por supuesto, redes Wi-Fi.

En LifeHacker han publicado un artículo (en Inglés con un vídeo de apoyo) sobre cómo romper una clave Wi-Fi protegida con una clave WEP, usando BackTrack. No es nada que otras veces no haya comentado aquí y son las herramientas “habitualmes” las usadas, pero no está de más recordarlo y aunque una clave WPA también es susceptible de ser crackeada, con una clave potente, larga y que vayáis cambiando regularmente, será mucho más difícil que bajo WEP.

Si estáis interesados en aumentar la seguridad de vuestra red Wi-Fi, os recomiendo leer dos tutoriales que en su día publicamos en Daboweb sobre como asegurar vuestra red inalámbrica en Mac OS X o Windows, pero válido también para GNU/Linux ya que los conceptos son los mismos, así como otra entrada mía sobre las redes abiertas tan usadas en vacaciones.

Asegurar Wi-Fi en Windows (Por Danae) | Asegurar Wi-Fi en Mac OS X (Fedelf) | Vacaciones y redes abiertas (Dabo).

Compartir

Tags: BackTrack, GNU/Linux, Hacking, Mac OS X, Password, Redes, Tutoriales, WEP, Wi-FI, Windows, WPA

Como siempre, traigo al blog información que me sirve para mi archivo personal de recursos.

En este caso, quería compartir con vosotros esta lista con cientos de passwords por defecto para casi cualquier dispositivo electrónico que podáis necesitar saber.

Además, tengo un buen colega asiduo de este blog que cada mes me da un telefonazo para saber el password “de fábrica” del router de turno .

Creo que me ahorraré algo de curro y Vodafone ganará menos con él -;) ¿A qué si Diego?

Acceso a la lista de passwords | Vía Digg.

Compartir

Tags: Firewall, Hacking, Hardware, impresoras, Password, Router

Abro este post a raíz de una entrada que he visto en el blog de un colega con un montaje de fotografía y música.

Es más que probable que nunca tenga problemas con la autoría o derechos de la canción, pero si hubiese utilizado un lugar de descarga de música con licencia Creative Commons o similar, estaría más tranquilo.

Tengo también algún caso cercano en el que una vez que cuelgas un vídeo en Youtube por ejemplo, si empieza a funcionar y rular por múltiples webs o blogs, te puedes dar con la $G@€ de frente…

Para este tipo de situaciones, os recomiendo el uso de sites como SoundClick o similares para descargaros libremente (algunos se venden también) los MP3 que necesitéis.

Hay más de 200.000 canciones agrupados en diferentes temáticas, en cada una de ella se especifica la licencia de uso, sólo es cuestión de buscar un poco y os sorprenderéis.

(por cierto, para escuchar una canción, darle a “hi-fi” no a “lo-hi” que la calidad es menor)

Por citar un ejemplo, yo ando pendiente de hacer un montaje (que veréis aquí) un poco “cañero” de fotos de Rallyes, he elegido un tema de VTZ, “Ready to Bang”, Hip-Hop, poniendo el origen de la música y siguiendo los términos de su licencia ya estoy libre de futuros problemas y de paso les ayudo a promover lo que hacen.

Es por ello que tampoco pongo imágenes o capturas de pantalla como hacía antes, cuanto más tranquilo esté uno, creo que mejor que mejor. De ahí que ponga los mismos gifs hechos por mi, cambiando el nombre para los post.

Además, os confieso que me he enganchado a algún grupo a fuerza de oir temas -;).

Compartir

Tags: Blogs, CMS, Creative Commons, Música, Password