Redes sociales: consejos básicos para no caer en las trampas de los ciberdelincuentes.

Teclado de ordenador

El Instituto Nacional de Tecnologías de la Comunicación (Inteco) ha advertido esta semana de que las redes sociales están en el “punto de mira” de los ciberdelincuentes, que aprovechan el auge de estas comunidades para conseguir datos personales de los usuarios y propagar virus, timos y estafas.

Inteco ha informado de que, según la cuarta oleada del Observatorio de Redes Sociales de la Oficina de Seguridad del Internauta (OSI), los ciberdelincuentes están buscando cada vez más a sus víctimas en las redes sociales.

Ha subrayado que la “falsa sensación de seguridad” del usuario, al recibir los mensajes de contactos conocidos, abre muchas oportunidades para explotar trucos de ingeniería social, como la creación de cuentas falsas y el envío de mensajes engañosos.

A este respecto, ha apuntado que, aunque los usuarios de redes sociales están preocupados por la seguridad, “la mayoría no toma las precauciones necesarias para protegerse”.

Para evitar engaños, Inteco ha recomendado “usar el sentido común”, no hacer clic “en cualquier cosa”, no seguir los enlaces que aparecen en páginas sospechosas y no permitir acceder a datos de perfil a aplicaciones de dudosa credibilidad.

Ha incidido en que “ninguna red social” solicita a través del correo electrónico el nombre de usuario y la contraseña, y que si se recibe una comunicación de esas características debe eliminarse.

Además, ha aconsejado comprobar adónde redirigen los enlaces antes de pulsar en ellos, no abrir mensajes de usuarios desconocidos o que no se hayan solicitado, y ser “selectivo” con las personas que se agregan a la lista de amistades.

En estos vídeos podemos ver otros consejos sobre la seguridad en las redes sociales:

 

OMariño

Anuncios

Seguridad Online – Manteniéndote seguro en la web

La seguridad es algo fundamental. Con tanta gente por ahí queriendo aprovecharse de los demás, tienes que saber cómo proteger tu identidad online para limitar así las posibilidades de fraude o robo. Aquí encontrarás trucos y consejos para ir empezando.

Información general / Cosas obvias

A continuación veremos unos consejos para novatos de la red. Seguro que mucha gente ya sabe estas cosas, pero si hay algún principiante leyendo esto, esto les puede venir bien:

No eres el visitante un millón de r3g4l0sgr4t1s.com. No hagas click en ningún anuncio, ya que probablemente instalarán cookies o cualquier otra basura que no necesitas en tu ordenador.
Intenta no usar datos que te identifiquen en la red. No te sientas mal por utilizar datos falsos.
No entres en páginas que resulten sospechosas.
No descargues todo lo que encuentres en internet. Intenta quedarte en páginas conocidas y de toda confianza, y sólo baja aquellos que necesites.
Poner fotos tuyas online está bien, pero ten cuidado. No sólo por el aspecto de seguridad sino porque luego podrían resultar un problema. Lo mismo se aplica a todo aquello que escribas. Cuando pones algo en internet puede ser muy difícil erradicarlo más tarde.
Si no quieres que la gente te encuentre fácilmente, no uses el mismo nombre de usuarios en todas las páginas en las que te registres. Y por supuesto, esconde tu dirección de eMail siempre que sea posible.

Passwords

Un password fuerte es una de las “claves” de la seguridad. A continuación, unas pistas para poner un buen password.

Creando un Password fuerte
Hay muchas guías que explican cómo crear passwords fuertes. Te recomendamos que eches un vistazo a estas 2 páginas:

http://lifehacker.com/#!184773/geek-to-live–choose-and-remember-great-passwords

http://lifehacker.com/5667944/how-to-choose-and-remember-great-passwords-that-live-in-your-head-video-edition

Los mejores Passwords
En general, intenta usar mayúsculas y minúsculas, y también símbolos y números. Asegúrate de que nunca utilizas un password de menos de 9 caracteres. Lo mejor es que sean de 12. Evita utilizar palabras “reales” o de diccionario (password@01 no es nada seguro). Los hackers más competentes empiezan comprobando las palabras más obvias, por lo que la contraseña del ejemplo podría ser crackeada en segundos.

Password Managers
Los Password Managers son una auténtica bendición. Si quieres passwords verdaderamente seguros para cada página que visites necesitarás uno. Todos los Password Managers tienen una herramienta de generación de passwords, y se recomienda usarla para las cuentas importantes. Sí. Puede ser un rollo teclearlas en ordenadores de fuera (tienes auto rellenado en tu propio ordenador) pero aún así te pueden ayudar mucho.

Recomendaciones: LastPass, KeePass y 1Password.

Programas Anti-Virus

NOD32 [DE PAGO]
A buen anti-virus de carácter ligero. No ralentiza el ordenador y funciona genial.

Kaspersky [DE PAGO]
Otro anti-virus bastante popular que ofrece mucha protección.

Microsoft Security Essentials [GRATIS]
Altamente recomendado. No tiene prestaciones exageradas, pero sí lo suficiente para defendernos. Completamente gratis y funciona bien. Sorprendentemente no sufre del exceso de requerimientos de sistema y de toda la parafernalia típica que se suelen ver en otros programas de Microsoft.

AVG [GRATIS]
El anti-virus gratuito más popular. No es perfecto, pero si no quieres pagar y tampoco confías en la protección que ofrece Windows, ésta es una de tus mejores opciones. Sin embargo, prepárate para una avalancha de falsos negativos (más que en otros programas al menos).

Avast [GRATIS]
Bastante popular, pero algo lento y problemático. No lo recomendamos.

Avira [GRATIS / DE PAGO]
Otro anti-virus gratuito altamente recomendado por muchos usuarios.

Hay más anti-virus que puedes probar, pero los que hemos comentado son las mejores opciones.

Los anti-virus no son perfectos. Asegúrate de tenerlos al día (normalmente hacen updates automáticos) y recuerda usar el sentido común (ver sección Cosas Obvias).

ADVERTENCIA: Si quieres cambiar de anti-virus, asegúrate de borrar el anterior antes de instalar el siguiente o se producirán errores graves en el sistema. Busca en Google instrucciones de desinstalación específicas para tu anti-virus.

Programas Anti-Malware

Malwarebytes [GRATIS]
Uno de los programas anti-malware más populares. Muy recomendable.

CCleaner [GRATIS]
No es un auténtico programa anti-malware, pero ayuda a proteger tu equipo de cookies no deseadas. Un buen complemento para tu protección.

Asegurando tus archivos
Si tienes ciertos archivos con información de carácter privado de los que no quieres que nadie se apodere, puedes encriptarlos para que sólo sean accesibles mediante password.

Recomendaciones: TrueCrypt (flexible) y AxCrypt (más accesible, user-friendly).

HTTPS
Varias páginas ofrecen una conexión segura que puede que no conozcas. ¿No sabes qué es HTTPS?

http://www.lifehacker.com.au/2011/01/ask-lh-why-should-i-care-about-https-on-facebook-or-other-websites/

Facebook
Activar HTTPS
Vete a Account > Account settings > Account security.

Esto te ayuda a protegerte de hackers que tratan de interceptar tu conexión con Facebook. Sin embargo, también puede impedir que funcionen ciertas aplicaciones.

Ajustes de privacidad
Hay muchos ajustes que puedes customizar en tu cuenta. Lamentablemente mucha gente ignora esto y expone su información personal a todo el mundo.
Vete a Account > Privacy settings > Customise settings.

Pon todas las opciones a tu gusto para mantener tu información a salvo. Se recomienda hacer varios grupos (por ejemplo, compañeros de clase o de trabajo, amigos íntimos y familia). De esa forma, puedes personalizar tu privacidad de tal manera de cada grupo sólo pueda ver ciertas cosas. Es altamente recomendable que no haya información al alcance de todo el mundo, pero también es aceptable poner datos triviales en plan público para que sólo tus amigos te reconozcan (por ejemplo, tus series de TV o tus videojuegos favoritos).

Twitter
Activa HTTPS yendo a Settings > HTTPS only.

Cuentas GMail / Google
Activar HTTPS
Para activar esto en tu GMail, vete a Settings y haz click en ‘Always use HTTPS’.

Activar Verificación de 2 Pasos
La verificación de 2 pasos le da a tu cuenta Google una segunda capa de seguridad, para que incluso si un ladrón o un hacker consiguen tu password, no sean capaces de entrar en tu cuenta.

http://lifehacker.com/5756977/set-up-googles-two+step-verification-now-for-seriously-enhanced-security-for-your-google-account

Google Search
Utiliza el motor de búsqueda encriptado visitando…

https://encrypted.google.com/

Steam
Casi todos los jugadores de PC tienen Steam instalado. Si quieres una segunda capa de seguridad para tu cuenta, puedes utilizar ‘Steam Guard’. Al igual que la verificación de 2 pasos de Google, sólo puedes entrar en tu cuenta desde otro ordenador con una clave que te mandan por eMail.

http://store.steampowered.com/news/5123/

Extras

http://www.lifehacker.com.au/2010/12/how-to-stay-secure-online/

Resumen rápido
Instala un anti-virus
Instala algún anti-malware
No publiques tus datos reales online, utiliza un eMail temporal si no deseas utilizar el tuyo propio
Esconde tu dirección eMail siempre que te resulte posible
Utiliza un nombre de usuario diferente en cada página
Usa passwords que tengan más de 9 caracteres, con mayúsculas, minúsculas, símbolos y números
No visites páginas raras
Sé listo y prudente 🙂

KAIST desarrolla un sistema de localización en interiores basado en WiFi

Investigadores del KAIST (Korean Advanced Institute of Science and Technology) han anunciado un nuevo sistema para geolocalizar personas en interiores de edificios y grandes superficies que utiliza las conexiones WiFi de los terminales móviles para identificar y seguir la posición de sus portadores.

El sistema tiene como meta ser capaz de localizar a personas que se queden atrapados en situaciones de emergencias tales como terremotos, inundaciones, derrumbamientos de edificios, etc., sin que sea necesario usar los sistemas GPS convencionales cuya eficacia en interiores y en edificios de muchas plantas disminuye considerablemente.

Para ello se basa en un equipo central que va recopilando información sobre cada terminal con WiFi a medida que se conecta a los diferentes puntos de acceso, midiendo la intensidad de las señales mientras se mueve por el espacio del edificio y actualizando una base de datos.

kaistSus creadores afirman que en entornos domésticos y semiprofesionales el margen de error es cercano a los 10 metros, con lo que piensan también podrá utilizarse en otras aplicaciones, como para localizar a niños perdidos en centros comerciales, aeropuertos y lugares públicos con gran afluencia de gente.

Fuente – http://www.xatakaon.com/tecnologia-de-redes/kaist-desarrolla-un-sistema-de-localizacion-en-interiores-basado-en-wifi

Provocan el mayor ataque informático que ha sufrido la Red en su historia

Una disputa entre un grupo que lucha contra el spam y un proveedor de hosting holandés provocó el pasado miércoles, 24 de marzo, la ralentización de internet a nivel global. Los ataques, que alcanzaron en su punto álgido los 300 GB/segundo han sido definidos por expertos como “el mayor ciber-atentado jamás cometido” y ha forzado a gigantes como Google y Netflix a reorganizar sus recursos apresuradamente para evitar besar la lona. Para entender la magnitud del asunto, un ataque coordinado por Anonymous suele mover una media de 50 GB/segundo.

El problema comenzó cuando una organización sin ánimo de lucro que lucha contra el spam, SpamHaus, incluyó en una de sus listas negras a la empresa holandesa Cyberbunker, ya que la política de admisión del proveedor de hosting holandés se limita a excluir la pornografía infantil y los mensajes que promueven el terrorismo pero no limita el alojamiento al spam y el malware.

Sven Ola Kamphuis, portavoz de CyberBunker, declaraba públicamente hace unos días que SpamHaus estaba abusando de su posición de poder y no debería tener derecho a decidir lo que se filtra en internet. Estas declaraciones provocaron, como represalia, que SpamHaus comenzara a bloquear masivamente los servidores de la compañía holandesa y ésta, a su vez, contraatacase con todo su arsenal disponible.

El método de ataque elegido ha sido el DDoS (ataque distribuido de denegación de servicio). Una maniobra que consiste en colapsar los servidores a base de enviar un volumen de datos que son incapaces de gestionar.

Pese a estar sufriendo un tráfico de datos inimaginable para una situación normal, los servidores de SpamHaus han logrado mantenerse “online”. No obstante, ciertos servicios de la compañía sí han caído, afectando a clientes tan ilustres como la BBC británica. El efecto dominó, además, ha afectado al tráfico mundial de la red, ralentizando la conexión a internet de millones de usuarios y poniendo en grave peligro servicios como el de correo electrónico, banca online, etc.

REFERENCIAS:

 

 

jcruz

Ataques a cuenta de correo mediante Android.

En el pasado reciente, hemos observado ataques dirigidos contra activistas uygures y tibetanos que empleaban plataformas Windows y Mac OS X, ambos documentados en nuestra web, cuyas herramientas de propagación consistían en archivos ZIP además de DOCXLS y documentos en PDF plagados de agujeros de seguridad.

Hace algunos días, la cuenta de correo electrónico de un activista tibetano relevante ha sido hackeada y usada para enviar ataques dirigidos contra el resto de compañeros activistas y otros defensores de los derechos humanos. Pero esto no es nada nuevo, lo que llama la atención aquí es que los emails empleados para atacar llevan adjunto un .APK -o paquete instalador- de Android.

El ataque

El día 24 de Marzo de 2013, la cuenta de correo de un activista tibetano importante fue vulnerada y está siendo empleada para dirigir ataques tipo “spear phishing” contra su lista de contactos. El aspecto que presenta este ataque de phishing es el siguiente: 

 android 1

En relación a la captura superior, debemos explicar que muchos grupos de activistas han organizado recientemente una conferencia de derechos humanos en Génova. Hemos visto como han aumentado los ataques que perseguían engañar al usuario con este supuesto. A continuación otro ejemplo de este tipo de ataque sobre usuarios de Windows:

 android 2

Volviendo al paquete de Android (APK) que viene adjunto al email, lo que este presenta es una aplicación llamada “WUC´s Conference.apk“.

El paquete malicioso tiene un tamaño de 334326 bytes, cuyo MD5 es: 0b8806b38b52bebfe39ff585639e2ea2 y es detectado por el producto antivirus de Kaspersky como “Backdoor.AndroidOS.Chuli.a”

Después de la instalación, una aplicación llamada “Conference” (conferencia) aparece en el escritorio.

 android 3

Si la víctima arranca la aplicación, verá la información que esta desvela sobre el inminente evento: 

 208194195

A continuación el texto completo contenido en la aplicación. Nótese un error llamativo en dicho texto, ya que se confunde la palabra “Word” con “World”:

“On behalf of all at the Word Uyghur Congress (WUC), the Unrepresented Nations and Peoples Organization (UNPO) and the Society for Threatened Peoples (STP), Human Rights in China: Implications for East Turkestan, Tibet and Southern Mongolia

In what was an unprecedented coming-together of leading Uyghur, Mongolian, Tibetan and Chinese activists, as well as other leading international experts, we were greatly humbled by the great enthusiasm, contribution and desire from all in attendance to make this occasion something meaningful, the outcome of which produced some concrete, action-orientated solutions to our shared grievances. We are especially delighted about the platform and programme of work established in the declaration of the conference, upon which we sincerely hope will be built a strong and resolute working relationship on our shared goals for the future. With this in mind,we thoroughly look forward to working with you on these matters.

Dolkun lsa

Chairman of the Executive Committee

Word Uyghur Congress”


Mientras la víctima lee el mensaje falso, el malware contenido ya está informando de la infección a su centro de “comando y control” o C2. Después, este empieza a recopilar información del dispositivo, lo que incluye:

  • Contactos (tanto los de la tarjeta SIM como los del teléfono)

  • Registro de llamadas.

  • Mensajes SMS

  • Geo-localización

  • Datos del teléfono (número, versión de Sistema Operativo, modelo, versión SDK)

Es importante señalar que estos datos no serán enviados al servidor C2 automáticamente. El troyano espera a que entre un SMS (“alarmReceiver.class”) y comprueba si estos mensajes contienen uno de los siguiente parámetros: “sms”, “contacto”, “lugar”, “otro”. Si se encuentra uno de estos comandos, el malware codificará los datos robados con “Base64” y los enviará al servidor de comando y control. La url de este C2 es:

hxxp://64.78.161.133/*victims’s_cell_phone_number*/process.php

Además de esto, el malware enviará otro script, “hxxp://64.78.161.33/android.php“. Primero conseguirá la variable “número nativo” del valor “telmark” situado en “AndroidManifest.xml”. Esto es igual al número de teléfono. Después, añade el resultado al método publico “localDate.getTime()”, que simplemente añade la fecha y hora actuales. Un ejemplo de cadena resultante es “teléfono 26.03.2013”.

Resulta interesante que los atacantes empleen la librería Java Base 64 desarrollada por Sauron Software. Es un software gratuito y libre distribuído bajo licencia LGPL.

También se aprecia que, en las comunicaciones entre el centro de control y el malware, se incluye la función denominada “chuli()” antes de transmitir los datos robados al servidor. Parece ser que los atacantes están de alguna forma familiarizados con el lenguaje y la cultura de montaña-escalada de los objetivos -la palabra chuli significa “cumbre” o “cima”. 

 android 4

El código fuente descompilado nos permite ver claramente cuales son los parámetros usados por el centro de Comando-control:

 android 5

El centro de Comando y Control

El servidor que ejerce estas funciones tiene asignada la IP 64.78.161.133. Esta IP está situada en Los Angeles, U.S.A. y alojada en una compañía de hosting llamada “Emagine Concept Inc”. 

 android 6

Resulta interesante comprobar uno de los dominios que apuntan al servidor, “DlmDocumentsExchange.com“. El dominio fué registrado el día 8 de Marzo de 2013:

Registration Service Provided By: SHANGHAI MEICHENG TECHNOLOGY INFORMATION DEVELOPMENT CO., LTD.

Domain Name: DLMDOCUMENTSEXCHANGE.COM

Registration Date: 08-Mar-2013

Expiration Date: 08-Mar-2014

Status:LOCKED

The domain registration data indicates the following owner:

Registrant Contact Details:

peng jia

peng jia ( bdoufwke123010@gmail.com)

beijingshiahiidienquc.d

beijingshi

beijing,100000

CN

Tel. +86.01078456689

Fax. +86.01078456689

El centro de comando y control también aloja en su página “index” o principal un archivo .APK: 

 android7

Si abrimos el centro de comando en una ventana del explorador de internet, muestra el siguiente aspecto: 

android 8

El servidor que ejerce de Centro de control está basado en Windows Server 2003 y ha sido configurado para lenguaje Chino: 

 android 9

Conclusiones

Cada día aparecen cientos (sino miles) de ataques dirigidos contra simpatizantes de la causa tibetana o Uygur. La gran mayoría de los ataques persiguen máquinas Windows a através de exploits para documentos Word basándose en las vulnerabilidades conocidas como CVE-2012-0158, CVE-2010-3333 y CVE-2009-3129.

Resulta bastante probable que los atacantes sean chinos, ya que es el lenguaje bajo el que funciona su servidor de control.

Por ahora la mejor opción es no abrir paquetes .APK que lleguen a dispositivos Android vía e-mail. El malware es detectado como “Backdoor.AndroidOS.Chuli.a” por Kaspersky antivirus.

J. Alfaya Perez

5212

Un hacker crea la botnet “Carna” con fines de investigación

Hasta 420.000 dispositivos embebidos inseguros fueron infectados por un hacker sin identificar para crear el Internet Census 2012, el mayor escaneo distribuido de direcciones IPv4 de Internet que se conoce.

Infección mediante la inserción de un código de tamaño entre 46KB y 60KB en dispositivos embebidos ‘mal protegidos’, para crear la Botnet Carna consiguiendo acelerar la velocidad de exploración en un factor significativo.

El código fue configurado para ejecutarse con una prioridad lo más baja posible en el dispositivo infectado para evitar interferencias e incluía un organismo de control para asegurarse de que las operaciones normales del sistema principal no se sobrecargasen.

Además, el hacker introdujo un archivo README en los dispositivos infectados, explicando el propósito del proyecto y otorgando una dirección de correo electrónico para posibles preguntas. Este correo solo ha recibido 2 mensajes, ambos de dos operadores de “honeypots”, los cuales sus “honeypots” habían sido infectadas por el bot.

Aunque se trata de una investigación ‘benigna’, el autor ha violado leyes suficientes para ser condenado a miles de años de prisión, si es descubierto.

Un enfoque poco ortodoxo que contempló la infección de 420.000 equipos para obtener a cambio, unos gráficos fascinantes y un enorme censo de Internet con más de 9 Tbytes con información de los escaneos a los puertos más comunes. Una información comprimida para reducirla a 565 Gbytes y que se está compartiendo vía BitTorrent.

Aunque hay otro resultado en la prueba que es mas interesante, y es la cantidad de sistemas poco protegidos conectados a Internet. El hacker asegura que no ha escaneado las intranets a las cuales pertenecían los dispositivos infectados, aun que este proceso habría resultado sencillo.

Imágenes:

Dispositivos que han respondido a las peticiones de ping en Junio y Octubre de 2012: http://internetcensus2012.github.com/InternetCensus2012/images/worldmap_16to9_3200x1800.png

Actividad de los dispositivos en 24h: http://internetcensus2012.github.com/InternetCensus2012/images/geovideo.gif

Distribución de las direcciones IP de los dispositivos: http://internetcensus2012.github.com/InternetCensus2012/images/hilbert_icmp_map.png

Fuentes:

http://internetcensus2012.github.com/InternetCensus2012/paper.html

http://h-online.com/-1825753

@dvalverde

Seguridad en WordPress

Es común que en el diseño gráfico de los blogs hechos en WordPress, sea código modificado de la instalación original del WordPress que se va a trabajar. Es lo habitual para poder trabajar la imagen gráfica del sitio web, pero tiene muchas más implicaciones de las que se conocen comúnmente.

WordPress es muy personalizable, ya que la modularidad de su código le permite mover a gusto bloques de texto, imágenes, esquematizando la información que se va a mostrar. Muchas veces instalamos plugins que si bien añaden funcionalidad extra al sitio web, también podrían poner en riesgo la seguridad e imagen del mismo.

Cuando modificamos el código de un sitio web, debemos tener precauciones de no dejar agujeros de seguridad de los cuales los atacantes se puedan aprovechar. Sucede mucho que si desarrollamos nuestro propio módulo de comentarios, y no validamos el texto introducido, podemos ser víctimas de ataques XSS o Inyecciones SQL. Lo peligroso de un XSS es que se puede robar la ‘cookie’ del administrador y por lo tanto, tomar control del contenido del portal. Muchos ataques son de carácter difamatorio, ya que introducen texto que insultan el manejo de la seguridad por parte del administrador.

Es indispensable que aquellos diseñadores gráficos o programadores que los asistan, se informen en técnicas de programación segura, para mitigar estos ataques. Una buena fuente de información es Open Web Application Security Project (OWASP), ya que ellos documentan no sólo las estadísticas de los ataques, sino que también tienen manuales teórico-prácticos que te ayudan como programador (a nivel de código), proteger la integridad de sitio web.

Son comunes los ataques a wordpress en los que vemos que se sustituye el código del “title” por una cadena de texto realmente críptica y el cambio de codificación del sitio a UTF-7, además de otras caracterísiticas del ataque.

El culpable parece ser una vulnerabilidad XSS de Apache, que permitiría cambiar la codificación. El caso es que esto está trayendo bastante debate en los foros de Unix y Apache, pues hay quien dice que el problema es de Internet Explorer, pero la realidad es que el sitio te lo hackean, se pongan como se pongan.

La vulnerabilidad sería algo así:
1. Alguien envía un texto de comentario del tipo +ADw-script+AD4-alert(+ACI-Hello+ACI-)+ADw-/script+AD4-. Y pasa cualquier validación.
2. La base de datos espera que todos los datos entrantes sean UTF-8 y los trata como tales. Y como las cadenas UTF-7 también son válidas en UTF-8 esto provoca un error SQL, que ni mysql_real_escape ni htmlspecialchars tocarán.
3. WordPress envía una cabecera text/html;charset=utf-7.
4. WordPress muestra el comentario, esperando los datos, pero como está tratado como un UTF-7 por el navegador se ejecuta el JavaScript.

El caso es que la mayoría de los navegadores no soportan UTF-7, así que mostrarán la cadena como UTF-8 o Windows-1252, pero la realidad es que la posibilidad de que alguien te haga un destrozo a la web ejecutando códigos de este modo está ahí.

¿Hay solución?

Afortunadamente si, y lo primero, es tener WordPress actualizado.

Lo que no arregla el problema es volver a cambiar la codificación en la base de datos a UTF-8, pues aún seguirías sin saber por donde te han entrado.

Recupera una copia de seguridad reciente e instala la última versión desde cero, para asegurarte que tienes el sitio limpio de cualquier código que hayan podido inyectarte mediante JavaScript.

En la parte de Apache, para quedarte más tranquilo, hay varios ajustes que se pueden hacer, así que habla con tu proveedor para que se asegure.

Cuando instalas WordPress, la seguridad en muchas ocasiones es en lo último que se piensa, excepto cuando ya has sufrido un hackeo. Es entonces cuando te das cuenta de lo vulnerable que era tu web y quieres saber como evitar que pase de nuevo.

Para evitarlos (o por lo menos ponerlo mucho más difícil) puedes seguir los siguientes consejos:

1. Utiliza contraseñas seguras. Utilizar el nombre de tu mascota o tu fecha de nacimiento es poner una alfombra roja a los hackers, ya que esta información se puede conseguir fácilmente en Internet. Lo sensato es utilizar una contraseña alfanumérica (letras y números combinados) y, si se puede, incluir caracteres no habituales como “@#$^”.

2. No utilices la misma contraseña para todo. Aunque requiere un esfuerzo adicional, te ahorrará muchos disgustos. Todos conocemos casos de hackeos masivos de cuentas como el que sufrió Sony en sus cuentas de PlayStation. Ahora imagina que los hackers entran, además de en tu cuenta Sony, en tu correo, en tu web, en tu PayPal y en todo lo que utilizas la misma contraseña. ¿Todavía piensas que es mucho esfuerzo?

3. Configura correctamente los permisos de los archivos del servidor. La única carpeta que tiene que tener permisos de escritura por el usuario del servidor web es /wp-content. (Si no sabes de que estoy hablando, habla con tu proveedor de hosting o pide ayuda profesional)

4. Limita los permisos del usuario de la base de datos. Cuando hagas la instalación, no utilices un usuario root de la base de datos, crea uno que solo tenga acceso a las tablas de WordPress. Con esto no evitarás que puedan controlar tu WordPress, pero si evitar que puedan acceder al resto de datos que tengas en el servidor.

5. No utilices el usuario “admin”. La mayoría de atacantes intentarán primero acceder con el usuario por defecto de la instalación, por lo que si eliges otro pondrás un obstáculo más a superar.

6. Mantén WordPress y sus plugins actualizados. La mayoría de los hackeos a webs desarrolladas en WordPress se aprovechan de vulnerabilidades que se han corregido en las versiones actuales, por lo que debes de estar muy atento de las nuevas versiones, sobre todo si estas contienen actualizaciones de seguridad.

7. No utilices más plugins de los imprescindibles. Es cierto que mediante plugins se puede configurar prácticamente cualquier funcionalidad, pero con cada plugin que instalamos estamos poniendo un nuevo posible punto de acceso para un atacante. Esto no quiere decir que no haya que instalar plugins, sino ser más selectivo y evitarlos cuando la funcionalidad puede conseguirse con un puñado de líneas de código.

Para finalizar os dejo una lista de reproducción donde se muestran algunos consejos de seguridad en WordPress:

Y un enlace donde podéis consultar más temas relacionados con la seguridad de WordPress:

http://seguridadwordpress.net/

pdiaz

El uso de los dispositivos móviles en la empresa y fuera de ella

tablet

En la sociedad en la que vivimos actualmente está plenamente instaurado el uso de multitud de dispositivos electrónicos en nuestra vida diaria y crece a un ritmo de vértigo (Google Glass por ejemplo).

Aunque como usuarios particulares hay riesgos de pérdida/robo de información personal (documentos, claves o fotos) tenemos que darnos cuenta del uso que hacemos de estos dispositivos en el entorno empresarial o profesional. En algunas ocasiones incluso el dispositivo (una tablet o un smartphone por ejemplo) es facilitado por la propia empresa para el desempeño de nuestro trabajo pero ¿le damos el uso correcto?, ¿mantenemos las mismas medidas de seguridad que con otro equipamiento de la empresa?.

Tenemos que ser plenamente conscientes de que el uso que hagamos del dispositivo puede afectar gravemente a la integridad de la seguridad en nuestra empresa. Si la empresa te facilita un móvil para tu trabajo ¿te lo llevas a casa? Si la respuesta es afirmativa (normalmente lo es), párate a pensar qué uso le das fuera de tu horario de trabajo. Lo más probable es que la wifi se conecte automáticamente a la red de tu casa o que en un momento determinado le dejes el móvil a tu hijo para que juegue a algunos de los juegos incluidos en el terminal, o lo conectemos al ordenador de casa para pasar un archivo que queremos terminar el fin de semana y, ¿seguro que no te conectarás a Facebook o Twitter de camino a casa? ;). Estas actitudes ya de por sí no son nada recomendables pero lo peor de todo es que llegaremos a la empresa y seguramente conectaremos el dispositivo a la red empresarial con el riesgo que conlleva.

Los responsables del departamento de TI de la empresa deben llevar un férreo control de estos dispositivos así como haber definido una política de seguridad estricta para su uso, siendo éste limitado al ámbito empresarial. Por ejemplo, cada día aparecen noticias relacionadas con la seguridad de iOS o Android y un móvil o tableta con información y contactos de la empresa nunca debería caer en otras manos que tengan oportunidad de explotar esos fallos y acceder a información sensible.

Recuerda, una de las mejores medidas de seguridad es el sentido común y así evitar riesgos innecesarios.


@crojas

CIFRADO EN WHATSAPP

Whatsapp, es una de las Apps más utilizadas de la App Store. Por lo visto, la aplicación presenta un problema de seguridad importante, que permite a cualquiera con unos conocimientos básicos de hacking hacerse con los números de teléfono de las personas con las que chateamos o incluso el contenido de los chats… un contenido, que, se supone, debería estar cifrado pero no lo está.

w1

En la imagen de arriba, vemos una captura de pantalla del programa Wireshark, que permite ‘hurgar’ en redes locales en busca de información. Efectivamente, Whatsapp utiliza el puerto 443 para sus comunicaciones seguras HTTPS, algo que en la web de Whatsapp se aseguran de hacer saber… esto quiere decir que sobre el papel, las comunicaciones de Whatsapp son seguras ya que están cifradas. La realidad, no obstante, es que la App no tiene una implementación SSL (el sistema de seguridad) perfecta, porque aunque utiliza el puerto 443 para sus comunicaciones, estas son enviadas como textos planos, sin ningún tipo de encriptación (cifrado).

w2

Por lo que a a hora de usar Whatsapp hay que tener en cuenta que si la usamos en una red Wi-Fi libre, en un Aeropuerto o cualquier otro lugar público cualquier persona que no conozcamos conectada a la misma red que pueda utilizar Wireshark o cualquier otro programa similar, puede espiarnos, en el sentido literal de la palabra, sin que nosotros lo sepamos. En cambio si nos conectamos vía red 3G de nuestro operador de telefonía móvil, no creemos que haya que preocuparse, ya que es mucho más complicado (por no decir imposible) para cualquier hacker conectar a esta red para intentar espiarnos, eso sin contar con que hay literalmente cientos de miles de usuarios conectados en cualquier momento. No es imposible, no obstante, incluso alguien que trabaje en esa compañía telefónica podría hacerlo, pero las probabilidades son muy remotas y además podría tener consecuencias legales muy graves para esa empresa, por lo que consideramos que es seguro conectar vía 3G.

ACTUALIZACIÓN DE WHATSAPP

WhatsApp daba pasos hacia adelante en su seguridad lanzando una nueva versión de su aplicación oficial con encriptación incluida. Como dijimos antes de la actualización los mensajes se enviaban completamente al descubierto, sin ningún tipo de codificación, lo que representaba una fortísima amenaza para nuestra seguridad. Ahora llegan más malas noticias para esta plataforma de mensajería, ya que al parecer la seguridad de esa encriptación de los mensajes no es lo suficientemente buena.

Dicha seguridad varía si usamos WhatsApp en Android o en iOS. El cifrado de nuestras credenciales en Android se reduce a un simple hash MD5 del número IMEI del móvil puesto del revés, algo que se puede conseguir muy fácilmente. En el caso de iOS el cifrado se obtiene haciendo el mismo hash MD5 de la dirección MAC del terminal repetida dos veces. Para los que no lo sepan: un hash MD5 de un archivo genera un código alfanumérico que sirve para identificar o confirmar la integridad de dicho archivo.

Datos como el IMEI o la dirección MAC de un teléfono móvil son demasiado fáciles de obtener, incluso para una persona que no tenga conocimientos avanzados de hacking. Un par de búsquedas en Google pueden proporcionarte las aplicaciones necesarias para obtener estos datos. Y eso no es todo: cuando WhatsApp revisa nuestra agenda de teléfonos móviles los datos siguen enviándose en un documento XML que muestra información de un usuario como su número, su estado o su cuenta de Jabber si consta en la agenda.

Lo mejor es no usar Whatsapp pero eso no es nada fácil de conseguir si tenemos amigos y familiares acostumbrados al protocolo, así que lo mejor es tener especial prudencia con WhatsApp, sobretodo si estáis en una red Wifi pública; y esperar a que los desarrolladores apliquen una encriptación mucho más adecuada.

En este vídeo un experto informático explica las vulnerabilidades de Whatsapp.

 

valonso

HTML5 tiene un error que permite la escritura remota

Sin título

Se trata de un fallo que puede encontrarse en los principales navegadores y puede derivar en que el espacio del disco duro se vea considerablemente reducido debido a que HTML5 permite que terceras personas y de forma remota puedan llevar a cabo la escritura en el disco.
Además, la velocidad de escritura es muy alta.
Estaríamos hablando del orden de 1 GB cada 10 segundos en determinados equipos. Los equipos afectados son tanto los que poseen un disco duro sólido como los que tienen instalado un disco mecánico. En un principio se pensó que sería un problema sólo de determinados navegadores, pero todo parece indicar que el problema está en las versiones HTML5 que las compañías han adaptado para cada uno de sus navegadores.
A día de hoy, se sabe que la última versión de Firefox y de Opera, se libra de este problema de seguridad, estando todos los demás navegadores afectados por el fallo de seguridad.

¿En qué consiste el problema?

Cuando el usuario visita una página web, esta puede estar equipada con un script que haciendo uso de cookies, comience a llenar el espacio designado al navegador para manejar este tipo de archivos. En el mejor de lo casos, lo que supondría que el navegador no está afectado, este avisaría al usuario advirtiéndole que el espacio designado ha sido llenado y si desea ampliar el mismo. Sin embargo, se ha detectado que sólo los dos navegadores citados con anterioridad lanzan este aviso, siendo el resto totalmente vulnerables al problema.
Cuestión de minutos para que el disco duro se llene En función del tipo de disco duro, sólido o mecánico, es probable que sólo se necesiten unos cuantos minutos para llenar al completo
el disco duro, ya que después de unas cuantas pruebas se ha estimado que en algunos caso la velocidad de llenado es de 1GB cada 10 segundos.
Además de todo esto, mencionar que los dispositivos móviles también se han visto afectados por este problema de seguridad. Se ha recomendado a los usuarios que se realicen reportes a las compañías para que se acelere la provisión de una actualización y así evitar que el problema de seguridad sea explotado de forma real.

Fuente1 → http://www.redeszone.net
Fuente2 → http://www.hackxcrack.es/

@aalonsofernandez