Tag Archives: seguridad informatica

Infraestructura PKI: protege siempre la clave privada

A veces es un error humano, otras la debilidad inherente de un determinado sistema o infraestructura… En cualquier caso, podemos tomar medidas para evitar desastres como el que leí recientemente de D-Link, en el que a alguien se le fue la pinza y publicó la clave utilizada para la firma digital del software legítimo de la compañía. Si esa clave cae en malas manos, puede llegar a firmar software ilegítimo o malicioso para hacerlo pasar por legítimo, y los usuarios tendrían muy difícil determinar que están siendo engañados, para hacernos a la idea del alcance de la situación….

Continue reading

Prevención contra las infecciones de malware: algunas herramientas de análisis online

Aunque utilices software antivirus nunca está de más tener una segunda o tercera opinión sobre ficheros o webs que sospechemos puedan dañar nuestro sistema. Internet es un medio potencialmente inseguro y podríamos aplicar el dicho de que más vale prevenir que curar. En ocasiones, especialmente cuando recibimos algún adjunto en un email (en este caso si el remitente es desconocido y tiene adjuntos más vale descartar el correo de primeras) o dudamos de que un sitio web pueda contener algún malware que pudiera infectarnos y complicarnos la vida, podemos recurrir a herramientas especializados en el análisis online de malware. Entre las que he encontrado más útiles, aunque habrá otras muchas:

Continue reading

Reforzando la configuración SSL/TLS de infraestructuras web (recopilatorio cipherli.st)

Cipherli

Cipherli

Para administradores de sistemas que trabajen en la securización de servicios web, bases de datos y comunicaciones, en cipherli.st encontramos una interesante colección de configuraciones seguras SSL/TLS para servidores web Apache, Nginx y Lighttpd. Cuestión que también comenté hace un tiempo cuando SSL dejó de considerarse un protocolo adecuado para comunicaciones seguras según los últimos estándares.

Continue reading

XCA, aplicación para gestionar certificados y claves

XCA es una aplicación que resultará familiar a todos aquellos que hayáis trabajado con OpenSSL previamente. Para los que aún no lo han hecho, es sin duda una forma sencilla e interesante de aprender a gestionar certificados y claves.

Continue reading

Mejorando la seguridad de Jboss: cifrado de las contraseñas de los ficheros de credenciales

Tener las consolas de Jboss (JMX, web console, admin console, jbossws…) protegidas por contraseña es una medida esencial de seguridad del servidor de aplicaciones para evitar que información sensible del servidor de aplicaciones esté a la vista de todo el mundo. El problema es que la securización básica deja las contraseñas tal cual las pusimos en los ficheros de configuración, en texto plano. En caso de un acceso no autorizado a nuestro servidor alguien podría leer facilmente esas contraseñas en los ficheros de configuración correspondientes.

Recordad que los ficheros de credenciales suelen estar en:

Continue reading

Habilitar la consola web de administración en JBoss AS 7 y EAP 6

Las nuevas versiones del servidor de aplicaciones Jboss tienen ciertas funcionalidades “capadas” de fábrica por cuestiones de seguridad. Antes de acceder a esas funcionalidades el administrador debe implementar diversas medidas con el fin de securizar el servidor de aplicaciones. Al fin y al cabo, por cada puerta que se abre, se añaden una cantidad o igual o mayor de vulnerabilidades que hay que minimizar tanto como podamos. Así, la interfaz web de administración, que es crítica, no puede utilizarse sin cumplir ciertos requisitos previos. Uno de ellos es crear un usuario con credenciales, capaz de administrar esa interfaz web. De la misma manera, para crear clústers en alta disponibilidad, es necesario implementar medidas de seguridad adicionales en cada nodo.

Continue reading

Éramos pocos y… FREAK Attack, nueva vulnerabilidad SSL/TLS

Con ese nombre podría referirse perfectamente a un concurso cutre de televisión pero no, se trata de una nueva vulnerabilidad SSL/TLS, que viene sembrado ya desde el año pasado. La naturaleza de este problema se trata de una vulnerabilidad fruto del uso de suites de cifrado débiles que consecuentemente son fáciles de descifrar en un ataque de hombre en el medio (MitM, Man in the Middle).

Continue reading

SSL ha muerto, larga vida a TLS

Todo llega a su fin… y si no que le pregunten a Internet Explorer 6. De todas formas, ya hacía tiempo que SSL (Secure Sockets Layer)no se consideraba un protocolo seguro de comunicaciones (vulnerabilidades como POODLE en SSL versión 3 o que SSL versión 2 utilizara MD5 para los mensajes de autenticación), y se recomendaba configurar en la medida de lo posible TLS (Transport Layer Security) en todos los servicios que hicieran uso de él. Ahora, después del comunicado del PCI Security Standards Council ya le han dado el golpe de gracia por lo que más vale que vayamos poniendo todo al día si no lo teníamos ya.

Continue reading

Mejora la seguridad de tu blog en WordPress implementando autenticación en dos pasos

A día de hoy la autenticación en dos pasos se está convirtiendo prácticamente en un estándar mínimo en el uso de servicios web. Esto es sencillo: durante mucho tiempo se confió únicamente google_authenticator2en las contraseñas como medio de autenticación, y éstas son vulnerables por muy diversas cuestiones: del lado del usuario, no siempre se siguen estándares mínimos a la hora de elegirlas: por ejemplo, 12345, nombres propios o comunes se siguen utilizando de forma extendida y son contraseñas pésimas. También puede darse el caso de que la contraseña se anote al lado del escritorio, añadiendo una vulnerabilidad más, o que siempre se elija la misma para todo, otra práctica desaconsejada ya que ponemos en riesgo todos los servicios que dependen de esa contraseña en caso de verse comprometida. Hace un tiempo escribí un artículo señalando precisamente lo que yo entiendo como buenas prácticas en este ámbito.

Continue reading

Secure Shell Filesystem (SSHFS): montar un sistema de ficheros remoto de forma segura en Linux

Con la mosca detrás de la oreja porque NFS nunca me resultó la panacea en cuanto a seguridad… me puse a revisar las distintas formas que tenemos de montar un sistema de ficheros de forma segura en Linux y realicé algunas pruebas con SSHFS, un sistema de ficheros basado en FUSE (Filesystem in Userspace, Sistema de Archivos en Espacio de Usuario). Dos cosas me resultan interesantes: su facilidad de uso (salvo alguno de sintaxis raruna que ya veréis, el concepto de uso es bastante sencillo) y su versatilidad de opciones de montaje.

Continue reading