[Top Seguridad] Repaso a 2010

31 diciembre 2010 Publicado por cLimbo 2 comentarios
Este año 2010 que hoy termina ha sido un año intenso en cuanto a seguridad informática se refiere. Hemos sido testigos de ataques a la central nuclear de Irán, a WikiLeaks o a las webs de los partidos políticos en España; también ha sido el año de la creación del cibercomando estadounidense y de la celebración de las primeras cibermaniobras de la Unión Europea. Todo este movimiento a nivel global también tiene su reflejo a nivel de usuario, ya que durante este año hemos asistido a todo un festival de vulnerabilidades de Adobe o Windows y vivimos toda una psicosis por culpa de FireSheep.


Afortunadamente, cada vez es más habitual que los usuarios y las empresas se tomen en serio la seguridad de la información y tomen algunas precauciones a la hora de navegar por Internet o, simplemente, abrir archivos adjuntos en los correos electrónicos. Aún así, no hace mucho, pudimos ver un estudio que puso sobre la mesa que la cultura de la seguridad aún no está implantada en muchas empresas y que aún queda mucho por hacer en este sentido.

Bueno, pues despúes de todo lo que hemos visto durante este 2010, aquí van mis cinco aplicaciones más destacadas relativas a la seguridad en este 2010 que termina:

  • Con Firesheep, la verdad, es que lo pasamos bastante mal. Un complemento para Firefox, que nació de un experimento y con el que nos podían suplantar nuestras identidades en Twitter, Facebook o WordPress entre otros. Desde que nació Firesheep ningún congreso o evento en el que se ofrezca conexión wifi gratuita ha dejado de ser el mismo. ¿Y en qué se basaba?, pues que muchas redes sociales, para que la conexión fuese menos pesada, no usaban SSL, así que este complemento aprovechaba eso, analizaba el tráfico y almacenaba las sesiones, menuda gracia. ¿Y qué podemos hacer para evitarlo?, pues se lanzó un complemento para Firefox, BlackSheep, que era una especie contramedida, que funciona muy bien, y que envía información falsa a Firesheep para confundirlo, pero casi que la mejor solución es forzar el uso del SSL donde sea posible, por ejemplo, mediante las extensiones Force-TLS y HTTPS-Everywhere.

  • Panda Cloud es un antivirus que me gusta mucho, bueno, no sólo a mí, porque creo que hay bastante gente que está de acuerdo y piensa que este producto es una buena solución de seguridad. Apareció tímidamente a finales de 2009, pero este 2010 ha sido el de su despegue y extensión. Un antivirus que se basa en la nube, gratuito y con unos requisitos nada desmesurados.

  • Perder el ordenador portátil es una auténtica faena, ya sea porque te lo hayan robado o por un simple descuido. Para empezar, un estudio nos reveló que la mayoría de las empresas no cifraban la información de los discos duros de sus portátiles, dejando los datos a libre disposición de cualquiera que quisiera espiar (de hecho, también hace poco asistimos al bochornoso fallo de la NASA que vendió equipos informáticos con datos confidenciales que no habían sido borrados). Una aplicación interesante es Prey, una aplicación en software libre con la que podemos localizar nuestro portátil o nuestro smartphone en el caso que nos sea robado o que lo perdamos. La aplicación no está mal, a ver, funciona bajo el supuesto que el que nos roba el equipo lo arranque con el S.O. original que está instalado, para que Prey pueda informar sobre qué redes wifi hay alrededor, conectarse a alguna que esté abierta e informar de ello, pero bueno, no está mal porque si te toca un ladrón algo torpe que no conozca los live CD de las distribuciones Linux o que no sepa sacarle el disco duro al portátil, tendremos alguna posibilidad.

  • Hace poco menos de dos semanas Google presentó en sociedad su servicio de avisos sobre webs potencialmente inseguras. Aunque esto ya era algo que tenían, le han dado una vuelta al servicio y lo incluyen dentro de los resultados de las búsquedas, de manera que si una web ha sido alterada (víctima de un ataque, por ejemplo), Google nos alertará para que lo tengamos en cuenta antes de entrar al sitio web, además, si el webmaster de dicha web está registrado en Google (porque use las herramientas para webmasters), sería notificado por Google para que pudiese actuar sobre su sitio web tan rápido como sea posible.

  • Finalmente, una de mis aplicaciones favoritas de este 2010 es Square Privacy Cleaner, aplicación para borrar el rastro que dejas al usar un PC de uso público, ideal para llevar en una memoria USB y usar después de utilizar el PC de uso público que suele haber en los hoteles.

Estas son mis cinco aplicaciones destacadas de este 2010 sobre seguridad, seguramente me deje alguna en el tintero, así que la lista queda abierta a vuestras aportaciones.



Vía | Bitelia

El DDoS a la web del Congreso impide seguir en directo el debate sobre la Ley Sinde

21 diciembre 2010 Publicado por cLimbo 0 comentarios
Un presunto ataque masivo de denegación de servicio (DDoS) a la web del Congreso de los Diputados está imposibilitando el acceso a la emisión en directo del debate de la Comisión de Economía y Hacienda sobre la aprobación final de la Ley de Economía Sostenible. La ira de los internautas por el texto que prevé cerrar sitios web con enlaces parece ser la causa del ataque.

Desde primera hora de hoy martes 21 de diciembre resulta imposible acceder a la web del Congreso (www.congreso.es), en la que se puede seguir en directo la emisión del debate sobre la controvertida Ley Sinde. El presunto ataque no ha sido organizado aparentemente por parte de ninguna organización internauta, a diferencia de lo sucedido en los últimos ataques de denegación de servicio promovidos desde la Red. En el día de ayer se sucedieron los ataques contra las webs de los partidos políticos PSOE, CiU y PP.

Aunque se pueden entender los motivos de enfado y decepción entre aquellos que presuntamente han lanzado el ataque, el favor realizado al resto de la comunidad internauta ha sido más bien flaco al no poder seguir en directo y al completo la discusión. A primera hora también cayó la web de la Sociedad General de Autores y Editores (SGAE), según publicó Portaltic.es.

RTVE.es y Twitter, alternativas para seguir el debate

Ha tenido que ser Radio Televisión Española quien cuelgue la retransmisión en directo del debate sobre la norma, sobre la que se votará alrededor de las 14.00 horas. También cabe la posibilidad de seguir las posturas de cada partido a través de la red social de microblogging Twitter, donde las periodistas @MirenM, @toribiobea y @pilarportero están retransmitiéndolo.

En apenas unos minutos conoceremos el futuro que les espera a las web de enlaces en nuestro país, ya que las posturas de todos los partidos parece que no se decidirán hasta el último momento.



Vía | ADSLZone

Publicado algoritmo WPA de Movistar (Telefónica) y Jazztel

Publicado por cLimbo 0 comentarios

Atención, esto parece una soberana tontería pero hay que andarse con ojo. Según informa Seguridad Wireless, el algoritmo que genera las claves de seguridad WPA que Movistar y Jazztel utilizan por defecto en sus routers ha sido hecho público. Lo cual significa que nuestras redes WiFi hoy están bastante más inseguras que ayer.

El pasado 24 de Noviembre Seguridad Wireless, web dedicada a lo que dice su propio título, descifró este algoritmo de generación de claves WPA (las más usadas y recomendadas por las ISP). Tras intentar informar el problema a Comtrend (fabricante de los routers afectados, entre ellos el CT-5365 de Jazztel) y no recibir respuesta alguna por su parte, han decidido (no sé si muy acertadamente) liberar dicho algoritmo para que cualquiera pueda obtener dicha clave por defecto.

El algoritmo utiliza el nombre de la propia red WiFi, WLAN_XXXX en el caso de Movistar y JAZZTEL_XXXX en el caso de Jazztel, y la dirección MAC del router para obtener la clave WPA. Estos dos datos se encuentran a la vista de todos los que se encuentren en el radio de acción de nuestra WiFi, por lo que acceder a la misma y chupar de nuestra conexión sería coser y cantar. Además, el acceso a los dispositivos de nuestra red local estaría a su merced.

Afortunadamente la solución al problema es muy sencilla, cambiar la clave WPA por defecto por otra a nuestra elección (cuanto más larga y complicada mejor). Otras soluciones adicionales menores pasan por cambiar el nombre SSID a nuestra WiFi para camuflar que somos de Movistar o Jazztel (o mejor ocultarla), cambiar el usuario y password de acceso al router para que no cambien ninguno de los parámetros del mismo y añadir un filtrado por MAC para que sólo se conecten a nuestra red los dispositivos que nosotros autoricemos.

Por otra parte, tanto Comtrend como Movistar y Jazztel deberían revisar activamente sus políticas de seguridad para no quedar tan en evidencia ante una situación como esta. Algunos conocemos lo suficiente como para actuar ante una amenaza así, pero mucha gente, al contratar su ADSL, instala su router con la configuración por defecto y no sabe cómo modificarla.

Desde aquí os recomiendo que, si este es vuestro caso, os informéis siempre de las medidas que podéis tomar para proteger vuestra WiFi de accesos inesperados. Para ello podéis consultar la guía en que os explicamos todos los mecanismos de seguridad WiFi que podéis usar.



Vía | Syswoody

[Tutorial] Cómo mantener tus datos seguros en caso de robo o pérdida de tu equipo

13 diciembre 2010 Publicado por cLimbo 0 comentarios
En épocas donde las computadoras portátiles son cada día más populares y suele ser nuestro equipo principal, crece la preocupación de la seguridad de nuestros datos, especialmente en caso de robo o pérdida de nuestro equipo.


El hecho es que la mayoría de nosotros no nos preocupamos de hacer respaldos o configurar capas de seguridad para nuestros datos hasta que pasa “algo malo”. Después de eso es cuando tomamos cartas en el asunto, pero mientras tanto, ya perdimos datos. Al final, no es demasiado difícil, es sumamente barato y seguir estos pasos no toma demasiado tiempo.

Esta es una sencilla pero muy efectiva guía para mantener tus datos seguros en caso de robo o pérdida de tu equipo.

1. Siempre, activar la contraseña de acceso a tu máquina

De los argumentos más habituales que escucho para no tener activada la contraseña de acceso a un equipo es que este siempre está dentro de casa o es problemático recordarla o no tenemos tiempo de memorizar una que sea lo suficientemente larga para que se mantenga segura. Pero la realidad es en que siempre hay la posibilidad de que entren a tu casa y roben tus cosas, que pases por un control de seguridad en algún aeropuerto y quieran acceder a tus datos, que pierdas tu portátil en algún lugar y quien lo encuentre pueda ver todos tus documentos privados (fotos, emails, documentos, estados de cuenta) sin tu permiso.

Elegir una contraseña súmamente segura es muchísimo más fácil de lo que crees y no debería ser críptica, de 80 caracteres y sumamente difícil de recordar. Simplemente debes de seguir los siguientes consejos y es más que suficiente:

  1. No usar palabras de diccionario.
  2. No usar tu fecha de nacimiento.
  3. No usar una serie de números (12345 o 123 o 456)
  4. No usar “password”
  5. No usar tu nombre, el nombre de tu pareja, de tu mama o tu papá.

Es decir, mientras menos obvio, mejor. Pero insisto, no es necesario optar por una serie de caracteres al azar. Trata de mezclar números, letras, espacios y algún signo. En The usability of passwords lo explican al detalle pero aconsejaría algo como:

  1. Piensa en una palabra larga pero familiar, no necesariamente en tu idioma natal, pero que te sea extremadamente sencillo recordar. Para este ejemplo voy a usar una palabra en neerlandés, murcielago.
  2. Reemplazo la letra o por un 0 y la e por 3, la a por un 4 y la i por 1. El resultado: murc13l4g0.
  3. Hagamos la primera y la última letra mayúscula: Murc13l4g0.
  4. Finalmente agreguemos un par de espacios y dos símbolos: @ Murc13l4g0 &.

Tenemos así una contraseña de 14 caracteres extremadamente difícil de crackear, pero bastante fácil de recordar. Funciona bien con palabras compuestas o una frase que te sea familiar. Para no tener un punto único de fallo no uses la misma contraseña en más de un servicio, eso significaría que por X o Y motivo, si alguien logra saberla, puede acceder a todas tus cuentas.

2. Elige un buen sistema de respaldo

Las soluciones de respaldo de información en los últimos años se han hecho muy baratos y sobre todo muy sencillos de usar. El tema es que antes había que pasar horas configurando y asegurándonos que el software haga una copia correcta de nuestros archivos y que las haga a tiempo. En muchas ocasiones los sistemas de respaldo hacían nuestros equipos lentos o empezaban el proceso a horas no recomendadas.

Por otro lado estaba el tema del costo de hardware para mantener un respaldo redundante que no se perdiera en el segundo que el almacenamiento en cuestión fallara. La realidad es que tener un solo disco duro externo (de esos que cuestan 100 dólares por 1TB) conectado al equipo para que se haga el respaldo automático cada noche simplemente no es suficiente. Son baratos, y suelen fallar bsastante. Se necesita más.

¿La gran solución? Un flujo de respaldo redundante que implique tener tu información en tres lugares (suena complicado, pero no lo es):

  1. En el disco duro de tu equipo.
  2. En un sistema de respaldo automático de hardware que tengas en casa u oficina.
  3. En un sistema de respaldo automático en la nube.

¿Por qué la redundancia? Si pierdes la información en el disco duro de tu portátil puedes recuperarla en pocas horas rescatándolo del hardware que tengas onsite en casa u oficina. Si se incendia tu lugar de trabajo o tu hogar, tienes un respaldo de toda tu información offsite, en la nube. Tardarás más en descargarla toda, pero siempre estuvo segura. Por último, si mañana te quedas para siempre sin internet o el servicio de respaldo online desaparece de la nada, tendrás siempre tanto el respaldo de hardware en casa/oficina.

Para el sistema de respaldo en casa recomiendo:

  1. La solución más cara: un Drobo que permite hacer muy fácilmente un RAID de 3, 4 o 5 discos duros. Que no tienen que ser de la mejor calidad pues hay redundancia de discos.
  2. Time Capsule, es una solución de costo medio, es sumamente sencillo de configurar (de hecho no hay que configurar nada) pero funciona solo en Mac. El disco duro interno es de una calidad bastante buena. En caso que no te sientas seguro con un solo disco duro es posible conectar un segundo disco duro externo vía USB y transferir la información de un lugar a otro.
  3. Crashplan: Una interesante solución para hacer respaldo de archivos tanto offline como online en Mac, PC y Linux. Se puede usar discos externos.

Insisto en evitar comprar la versión más barata del disco LaCie de 500GB o T1B que suelen costar por lo general 100 dólares o euros. Es bastante atractivo el precio pero la calidad del disco duro que hay dentro es un tanto cuestionable.

Para sistemas de respaldo online:

  1. Dropbox: La sincronización es automática y constante, tengo todos mis documentos y archivos de trabajo ahí. Puedo accederlos desde cualquier lugar vía web, tambien en mi iPhone o en mi Android. Hay una versión gratuita que debería funcionar para la gran mayoría pero también hay versiones de pago con mucha más capacidad. Además Dropbox guarda versiones de cada uno de los archivos que tienes (durante un mes), por lo tanto, puedes revertir cambios o recuperar documentos eliminados.
  2. SugarSync: La competencia directa de Dropbox, comparte muchísimas características. Su mayor ventaja es que se puede sincronizar cualquier carpeta del sistema. La desventaja es que las velocidades de sincronización y transferencia no son tan rápidas y las opciones para compartir carpetas no suelen ser tan fáciles/intuitivas/usables como Dropbox.
  3. Backupify: Funciona puramente como un sistema de respaldo de archivos. Se configura la frecuencia y las carpetas a respaldar.
  4. Google Docs: Aunque no necesariamente sirve para respaldar es siempre buena idea tener una copia de tus documentos en este sistema gratuito o simplemente trabajar desde ahí. Hay herramientas que te permiten subir todos los documentos de tu equipo a la nube.

Una vez que hayas elegido y después configurado tanto el sistema onsite como el sistema offsite, no debes hacer absolutamente nada más. Tus datos están en tres lados distintos y la tranquilidad que eso te ofrece es impagable.

Mi preferencia personal es una combinación de Time Capsule + Dropbox. Pero cada persona tendrá sus propias preferencias.

3. Localiza tu equipo si este fue robado

Nos puede llegar a pasar a todos, el equipo ya fue robado. Pero no todo está perdido. De la misma forma en que los iPhones o los Androids tienen sistemas de localización del equipo o la opción de eliminar absolutamente todos los datos de forma remota en caso extremo, es posible instalar software similar a nuestros portátiles.

El software en cuestión se llama Prey, es un excelente producto chileno que funciona de manera gratuita salvo que tengas más de ¿5? equipos. Es necesario crear una cuenta y registrar tu portátil (descargando e instalando la aplicación). Después de eso te olvidas que existe (salvo que te roben la máquina).

En caso que suceda, accedes a un panel de control vía web donde puedes activar la vigilancia y saber el IP con el cual se han conectado a internet, activar la webcam (en caso que la tenga) y tomar fotos a quien te la robó y eliminar toda información en última instancia.

Con estos tres pasos sentirás seguridad absoluta, no solo de poder recuperar tu información sino de que esta no será accedida y que tal vez inclusive puedas recuperar tu portátil en caso de que lo roben.



Vía | ALT1040