Protege tu web de ataques

Ninguna página web está libre de sufrir un ataque. Aunque hay cosas que pueden ponerlo más difícil.

Tener un sitio web protegido debería ser una de las preocupaciones principales de cualquier webmaster. Sobre todo teniendo en cuenta que la creación de código malicioso y ciberataques no deja de aumentar. Como tu página es la puerta de entrada a clientes, seguidores y personas para ayudarte a lograr el éxito, es fundamental mantenerla lo más protegida posible. Desde tienda del espía nos dan algunos consejos al respecto.

Usa las versiones más actualizadas de todo

Muchos de los ataques que se reciben aprovechan vulnerabilidades en el código de los programas. Por eso, es fundamental que tengas las versiones más actuales posibles, ya que en cuanto se detecta algún fallo crítico, los responsables de estos lanzan parches para cerrar esas brechas.

Principalmente importante es tener la última versión del gestor de contenidos que utilizas, como WordPress o Prestashop. También se aplica a los complementos que utilices para que tu sitio funcione y tenga la apariencia que quieres.

Elige un proveedor de alojamiento de calidad

La cantidad de ofertas de empresas que ofrecen alojamiento web es muy abrumadora. Por eso, cuando estés buscando un servidor VPS para subir tu página, haz una búsqueda exhaustiva y compara mucho más que el precio. Haz pruebas, mira lo que dicen de la empresa otros usuarios y asegúrense de los compromisos que tienen para sus clientes.

Utiliza protocolos de seguridad

Google está prestando atención a esto incluso para el posicionamiento, por lo que además de por protección deberás hacerlo de cara al SEO. Protege la seguridad de quienes navegan por tu sitio con un certificado de seguridad que cifre la comunicación. De este modo impedirás que terceros sin autorización puedan hacerse con esta información.

Esto es especialmente necesario cuando manejes información bancaria, datos personales o claves de acceso. Por ejemplo si tienes una tienda en línea en la que los clientes pueden abrirse una cuenta.

Contraseñas seguras

De nada sirve contar con el mejor servicio de hosting para tu web si la contraseña es tan básica que la adivinaría un niño de primaria jugando  con el teclado. Puede parecer bastante obvio, pero teniendo en cuenta que las claves más habituales son 123456 o qwerty, no está de más destacar este punto.

Para que tu contraseña sea segura debes evitar fechas destacadas, palabras que están en el diccionario o nombres de pila. También tienes que procurar que haya símbolos, números y combinaciones de mayúsculas y minúsculas. Y no uses la misma contraseña para más de un sitio.

Captchas contra el spam

Si no quieres ver como tu página se llena de comentarios realizados por robots, utiliza un cortafuegos que demuestre que es un humano el que quiere escribir algo. Así solo recibirás información de parte de personas reales, y no de programas que tratan de saturar el servidor lanzando ataques de envío masivo de información.

Servicios específicos contra ataques

Si tu web ha sufrido varios ataques, manejan información sensible o simplemente quieres extremar las precauciones, contrata servicios especializados para potenciar la seguridad de tu página. Puedes solicitar servicios AntiDDoS y similares a tu proveedor de alojamiento. Y si no cuenta con ellos, tal vez sería buena idea mirar quién lo tiene, ya que cada vez es más necesario contar con este tipo de protecciones.

Tal vez creas que no necesitas aumentar la protección de tu página porque no tienes un volumen tan grande como para que te consideren importante. Sin embargo, quienes se dedican a lanzar ataques no hacen distinción, e incluso se concentran en este tipo de webs para secuestrarlas y utilizarlas con fines maliciosos.

Recuerda compartir este artículo si te gusto y compartir tus opiniones en la caja de comentarios.

La seguridad informática y en las redes sociales, vital para prevenir los hackeos en redes sociales y otras páginas online

Con un alto nivel de conocimientos en la materia, sumado a la vulnerabilidad que presentan algunas plataformas, webs y medios del mundo online, no es complicado que alguien pueda conseguir tus contraseñas o introducirse directamente en tu computadora, por ello deberás potenciar la seguridad del mismo y tener cuidado por el tipo de sitios que navegas si no quieres verte envuelto en cualquier tipo de situación de vulnerabilidad parecida. Sobre todo, deberás de atender tus perfiles sociales, ya que suelen ser aquellos que mayor sufren de este tipo de intrusiones, ya sea para la toma de datos de todo tipo, o la suplantación de personalidad, espiar conversaciones privadas, etc.

Facebook, la red social más hackeada

De entre todas, los usuarios registrados en la plataforma del gigante azul son los que mayor número de veces han sufrido este tipo de inconvenientes. En parte, porque a su vez es la red social con un mayor número de usuarios registrados (así como la más usada) pero también debido a la poca atención que los internautas ponen a la seguridad de sus cuentas, o sus contraseñas. Y es que de nada sirve que la propia plataforma implemente ayudas y mejoras mediante las cuales potenciar el nivel de seguridad de todas y cada una de las cuentas en Facebook, si los usuarios no solo no hacen uso de ellas, sino que ni siquiera implementan las medidas de seguridad que tienen en sus propias manos para evitar el robo de cuentas. Por lo tanto, no se trata de lo fácil que sea o no hackear Facebook, sino más bien de los impedimentos que nosotros podamos poner a los hackers y evitar así el phising de cuentas.

Por ello, comenzaremos por ofrecer algunas pautas de seguridad a nivel usuario para que apliques a tus contraseñas en esta y cualquier otra red social, plataforma, medio u programa y que puedas así evitar la intromisión de los hackers.

Potenciar el nivel de seguridad de tu cuenta en Facebook

Con estos consejos para tener una contraseña segura, podrás evitar ser víctima del phishing (robo de cuentas) en la plataforma, y así poder chatear, compartir imágenes en tu muro, etc. De forma totalmente segura.

  1. Evita las cadenas de letras o números consecutivos, así como poner una misma contraseña para todo, ya que si consiguen sacar de alguna forma la contraseña de cualquier sitio, podrán tener acceso inmediato a todas tus cuentas, programa, etc. Ya que serán las mismas claves de acceso para Facebook y otras redes sociales.
  2. Añade caracteres especiales y mézclalos con números y letras de forma anómala para potenciar al máximo una clave de seguridad, ya que los programas de phishing son cada vez más avanzados y un password únicamente con números y letras no otorga suficiente seguridad, aunque ésta sea muy larga, o los mezcles también de manera irregular y sin seguir ningún tipo de patrón.
  3. No olvides mejorar también el nivel de tu respuesta a la pregunta secreta, ya que mediante la adivinación de la misma pueden tener acceso también a tu contraseña, y la posibilidad de cambiarla.
  4. También, y para ser más concreto, en la plataforma de Facebook es posible añadir tu número de teléfono para que con cada login en la cuenta te manden un mensaje con un código de confirmación que te informará cada vez que alguien intente entrar a la cuenta, pudiendo saber así si eres tú o no, y solamente pudiendo acceder con dicho código, un sistema a dos claves muy efectivo y seguro.

¿Cómo hacen para hackear cuentas de Facebook?

Ahora que ya sabes cómo aumentar por ti mismo la seguridad en la red social, te enseñaremos cómo funcionan habitualmente este tipo de herramientas para hackear Facebook de forma que puedas evitar siempre ser víctima de ellas, o caer en cualquier trampa vía online.

La mayoría de personas que tienen acceso a este tipo de software para hackear Facebook son también personas que, a su vez, tan solo tienen los conocimientos básicos de hacking como para manejar dicho programa, y poco más. Es realmente el software el que realiza prácticamente todo el proceso de hackeo, y por ello los consejos anteriormente citados para aumentar la seguridad en tu cuenta de Facebook.

Actualmente es muy sencillo acceder a este tipo de programas para robar y espiar cuentas de Facebook, ya que muchos ni siquiera requieren de descarga, permitiendo su ejecución online y mostrando las claves de seguridad de varias cuentas en tan solo unos minutos. Sin embargo, son herramientas que solamente serán efectivas para usuarios con contraseñas de seguridad muy bajas. Por lo que si realmente quieres aprender a como hackear una cuenta de facebook deberás de codearte con los mejores pentesters y aprender conocimientos avanzados en informática (lo cual no es sencillo, ni mucho menos) y convertirte así en un hacker de primera capaz de buscar debilidades en cualquier tipo de sistema, inclusive una red social tan grande como es Facebook.

El problema viene dado cuando este tipo de personas buscan el dinero fácil, y ofrecen sus servicios avanzados en informática al público abiertamente, permitiendo que le envíen dinero a cambio de hackear cuentas de Facebook concretas, o enseñarles a hacerlo, etc. Y así disponer de las contraseñas cada vez que quieran, pudiendo acceder a la cuenta solventando así cualquier tipo de seguridad y por tanto sin levantar sospechas para el usuario, pudiendo incluso llegar a espiar Facebook en tiempo real mientras este interactúa.

También es muy común el uso de “keyloggers” a la hora de como hackear Facebook, pues infectar una computadora puede ser incluso más sencillo que sacar la contraseña de una red social en cuestión, y ya desde ahí acceder a cualquier lugar en línea. Las facilidades se aumentan aún más sobre todo si tienes algún tipo de acceso a dicho PC (una computadora pública, un locutorio, etc.) O mantienes contacto directo con la persona en cuestión (tu pareja, familiares, etc.)

Configurar ProtonVPN en Archlinux

Por medio del Ing. Ronald Escalona, me entero del servicio ProtonVPN. El cual es un servicio de VPN (Virtual Private Network) para dirigir tu tráfico de Internet a través de su red. Agregando una capa de seguridad y privacidad a tu conexión de Internet, lo cual es útil en situaciones como: cifrado de la conexión en redes públicas como la de restaurantes donde no se puede confiar quién está en la misma red, conectarse a sitios prohibidos por el proveedor de Internet (saltar bloqueos), evitar que conozcan (exceptuando el dueño de la VPN) que sitios de Internet estas navegando, entre otros.

Obtener acceso en ProtoVPN

ProtonVPN a pesar de ser un servicio pago, puedes solicitar una cuenta gratuita y al cabo de unas semanas (dependiendo de su cupo) obtendrás un enlace para activar tu cuenta. Una vez activado, necesitamos entrar al sitio para configurar el acceso por OpenVPN, el software que utilizaremos para conectarnos desde GNU/Linux. Allí coloca el usuario y contraseña para la conexión (el cual es distinto a las credenciales para acceder al servicio) y guardas.

Luego necesitamos descargar el archivo de configuración, para ello debemos:

  1. Ir a la sección de Downloads en la barra lateral.
  2. Encuentra la configuración de OpenVPN, ve a la sección de archivos y selecciona Linux. El protocolo recomendado es UDP pero si tienes problemas selecciona TCP que será mas lento.
  3. Selecciona el servidor a conectarse (o todos) y coloca el archivo en un lugar seguro.

Instalar el software requerido en Archlinux

Ahora en Archlinux debemos instalar el paquete de openvpn y systemd-resolved para proteger nuestro DNS. Para instalar este software debes ejecutar:

pacaur -S openvpn openvpn-update-systemd-resolved --needed

Luego iniciar el servicio de systemd-resolved, en mi caso lo activé también para cada arranque del sistema:

systemctl enable systemd-resolved.service

systemctl start systemd-resolved.service

Configurar la conexión

Luego edita el archivo que descargaste desde ProtonVPN y cambia:

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

Por las siguientes líneas:

script-security 2
setenv PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
up /etc/openvpn/scripts/update-systemd-resolved
down /etc/openvpn/scripts/update-systemd-resolved
down-pre

Finalmente ejecutar con privilegios de administrador el siguiente comando:

openvpn archivo_descargado_de_protonvpn.opvn

¡Listo! Veras como se inicia la conexión y ahora estarás navegando por medio de ProtonVPN.

Nota: algunos comandos fueron tomados de la RawSec, la fuente de inspiración para este artículo.

Hackeando las instrucciones de x86

Cuando utilizamos la computadora y encontramos problemas, siempre solemos echar la culpa a las aplicaciones, nunca lo hacemos con el hardware porque asumimos que son piezas perfectas sin fallas. También cuando hacemos auditorías de seguridad, solemos solo fijarnos en el software y vemos al hardware como una caja negra segura. Sin embargo, en esta presentación vemos como un hacker estudia la arquitectura x86 (utilizada en la mayoría de las computadoras de escritorio y servidores) y desarrolla un algoritmo para encontrar instrucciones no documentadas en los procesadores x86.

El resultado es que consigue varias de ellas, demostrando que el hardware no es tan seguro o confiable como creemos. Pues contiene varias instrucciones no documentadas.

Instrucciones no documentadas x86

Las instrucciones no documentadas, permiten codificar programas para realizar acciones secretas en tu computadora. Por ejemplo, pueder acceder a direcciones de memoria especiales (podría pertenecer a otros programas y contener información privada), acceder a registros, realizar acciones privilegiadas, entre otros.

El peligro es que ocurre a nivel de hardware y al no estar documentadas, nadie las conoce, son indetectables. No se sabe si Intel/AMD las coloca para colaborar con agencias gubernamentales, para ellos mismos, pruebas, entre otros.

Si te interesa mas el tema, observa la conferencia “Rompiendo el conjunto de instrucciones de x86”.

Esperemos ver que información oficial sale sobre estos descubrimientos, o si son vulnerabilidades que se aprovecharán en el futuro. De todos modos, deseo que te haya gustado el vídeo y recuerda compartir tu opinión en la caja de comentarios.

Happy Hardware Hacking!

Hace 6 años en esa fecha: jQuery Categories List Widget

Hace 8 años en esa fecha: Will the real Linus Torvald please stand up?

Cifrado de la información en sitios web

En artículos pasados he hablado sobre tener una página segura desde el punto de vista del software y como programador, pero en este artículo me enfocaré en la seguridad y transmisión de los datos a través del cifrado.

Si tienes una página web, como por ejemplo un sitio de casinos como Casino.com donde se cobra por ofrecer un servicio de entrenamiento, el cual debe funcionar correctamente y evitar manipulación de la información, con el fin de mantener una buena calidad para que sus suscriptores sigan pagando por el servicio y producir ganancias. Puedes ser un blanco más atractivo para crackers o piratas que deseen robar/alterar la información para beneficio propio, por lo que se recomienda tomar ciertas medidas para incrementar la seguridad.

Cifrado de la transmisión de la información

El primer paso consiste en cifrar la comunicación desde tus servidores hasta tus usuarios, para ello debes adquirir un certificado digital para implementar el protocolo HTTPS en tu sitio. Este protocolo permite que todo el contenido web de tu sitio esté cifrado, así si un atacante lograra de alguna manera intervenir algún punto de la comunicación, no podrá entender el contenido del mensaje transmitido pues solo verá caracteres ilegibles. Adicionalmente, ahora los motores de búsqueda premian si tu trafico está cifrado por lo que además te servirá para tener mejores resultados en los buscadores.

Cifrado de la información almacenada en el lado del cliente

Una vez cifrada las comunicaciones, se recomienda cifrar la información sensible como: datos bancarios, dinero, tarjetas de crédito, contraseñas, información personal, entre otras. Este proceso debe ser aplicado en lado del cliente y en tus servidores, el primer caso suele ser ignorado pero es muy importante, pues la data que tiene un usuario puede ser alterada fácilmente para engañar a tu sitio y obtener acceso administrativo.

Para ello, se recomienda cifrar todo tipo de información que se guarde en cookies, almacenamiento local del navegador, archivos de reportes entre otros. Pues al estar guardado localmente, es fácil de editar con las herramientas de desarrollo del navegador.

Cifrado en el lado del servidor

En el lado del servidor, debes descifrar y validar toda la información recibida desde el cliente, asume que toda información recibida puede ser potencialmente maligna, así que toma medidas de seguridad al leer esos datos. Si almacenas en el servidor información en archivos o base de datos, cifra toda información sensible, porque si tu software falla y pueden tener acceso al servidor, de nada les servirá si la información se encuentra cifrada, o en el peor de los casos, si conocen como descifrarla, les tomaría decenas de años poder acceder a algo.

Si tienes varios servidores con diferentes propósitos: base de datos, aplicación web, archivos. Recuerda cifrar el canal de comunicación entre ellos y validar la identidad para evitar alguna suplantación, utiliza protocolos como HTTPS y SSH para la comunicación entre servidores.

Conclusiones

Con estos breves consejos podrás incrementar la seguridad de los datos en tu sitio web, te recomiendo seguir investigando sobre este tema y compartir en la caja de comentarios algo que consideres oportuno para mejorar la seguridad de tus datos. Aunque nunca puedes garantizar un 100% de seguridad, siempre puedes poner este tipo de barreras a tus atacantes para reducir a una probabilidad muy baja, la posibilidad de sufrir un daño en tu información.

¿Como tener páginas web seguras?

Internet es un medio de comunicación diseñado para que la información pudiese ser accedida de forma abierta y por cualquiera, pues en los inicios eran pocas las personas con acceso a la red. Pero fue evolucionando y se comenzó a transmitir información delicada como: datos personales, números de tarjeta de crédito, información bancaria, compras, entre otros. Asimismo, evolucionó para ofrecer páginas web seguras y brindar confianza a los usuarios frente a operaciones monetarias, información personal y más.

A continuación te daré unos breves consejos (todo este tema se puede expandir muchísimo) para tener una página web segura.

Alojarse en un servidor seguro

El primer paso es contar con un servidor seguro, esto se traduce principalmente en tener todo el software del sistema operativo y servicios actualizados, pues todos los días se descubren fallas de seguridad que los atacantes pueden correcciones de estas fallas y disminuyes consideradamente cualquier riesgo. Además debe estar configurado para ofrecer sólo los servicios necesarios, por ejemplo, si es solo un servidor web no debería estar el servicio de correo instalado (en caso que no se ofrezca) pues si se descubre un fallo en el mismo, puedes ser víctima de un ataque gracias a una aplicación que no era necesaria que estuviese en ejecución.

Es mandatario contar con un cortafuego (firewall) bien configurado, pues permite controlar las conexiones de red, el acceso al servidor o sistema y más. Este software es esencial para la seguridad, pues permite ocultar o proteger el acceso no autorizado de desconocidos, también de muchos tipos de ataques realizados por conexiones como los es DOS o DDOS donde muchas computadoras empiezan a solicitar más recursos de los que puedes proveer.

Si te parece muy compleja o técnica esta parte, entonces lo mejor es que pagues por un proveedor de alojamiento (hosting) como lo hago yo, de esta manera no pierdes tiempo en ello y te dedicas a otras cosas más importantes. Además, la mayoría de las empresas cuenta con personal capacitado para mantener todo el servidor seguro y recuperarlo ante cualquier desastre.

Cifrado de la comunicación

Cuando visitas una página, los datos deben ir desde tu equipo hasta el servidor donde está la página que vas a visitar, durante el camino existe la posibilidad de que tu información sea leída por terceros si ésta no está cifrada. Por ello debes asegurarte de implementar un protocolo de comunicación como HTTPS que permite transmitir la información de forma segura, pues si alguien tuviese acceso a interceptar tu data, no podrá leerla al estar cifrada (por lo tanto no es entendible).

En la misma compañía donde alojas tu página web segura, puedes solicitar un certificado TLS para implementar HTTPS y cifrar tus comunicaciones. Si andas corto de dinero, puedes utilizar el servicio Let’s Encrypt que te permite generar certificados de forma gratuita y respalda por grandes de Internet como Mozilla.

Si tu navegador muestra HTTPS, tu conexión está cifrada

Tu página web segura o el software web

El software o la aplicación web es la parte donde se debe tener mayor cuidado, pues es la primera capa a la cual el usuario tiene acceso y generalmente donde se empieza a buscar vulnerabilidades. Aquí la principal norma es asumir que todo dato recibido por el usuario puede estar mal o ser maligno, por lo tanto se debe realizar comprobaciones sobre la seguridad de la data recibida: que el origen sea válido, contenido válido, contenido requerido y no se esté recibiendo otro tipos de cosas, entre otros.

El software también tiene que estar diseñado para soportar roles y separar las acciones de usuarios de administradores, e inclusive, cada sistema debería estar aislado para evitar la propagación de fallas o ataques. En realidad existen muchas cosas que se deben tomar en cuenta al desarrollar software, pero realizando auditorías y pruebas pueden verificar que todo esté funcionando bien.

Ejemplo de páginas segura

Por ejemplo, una página web segura para jugar al blackjack online es Casino.com, sitio que cumple con estas normas. Pues para ofrecer su excelente servicio de juegos deben asegurarse que ninguno de los clientes va a hacer trampa y dañe la experiencia del juego. Su software está validado para detectar cualquier anomalía y protegerse ante ella, los servidores están bien asegurados en caso que alguien quisiera saltarse la protección de las aplicaciones, la comunicación se encuentra cifrada y validada a través de su certificado TLS, permitiendo tener una buena partida de apuestas en línea sin problemas.

Espero que con estos consejos entiendas lo mínimo para tener un sitio seguro, recuerda que es una breve introducción al tema, pues existen muchas cosas que se deben comprobar y aplicar, generalmente hecha por muchos profesionales del área. Y por más que quisiéramos, la seguridad total no existe sólo podemos reducir la probabilidad de ser atacados.

El Playstation 4 ha sido hackeado para correr Linux

Para los amantes de la seguridad informática y las consolas, tenemos una gran noticia para empezar el año. Pues el grupo de hackers denominado fail0verflow han realizado una presentación en el pasado Chaos Communication Congress, donde muestran el Playstation 4 (PS4) hackeado para correr Linux en él, inclusive, ejecutan un emulador de Gameboy Advance para mostrar el nivel de acceso al hardware.

Me parece interesante el exploit utilizado, pues parece que aprovechan una vulnerabilidad conocida de Webkit, el motor del navegador web del PS4 y a través de allí logran arrancar Linux. Como la arquitectura de un PS4 es igual al de una PC (x86-64), Linux ya soporta gran parte del hardware por defecto. Sin embargo, es mejor que vean el vídeo por si mismos:

Para mas información, puedes visitar el sitio de fail0verflow y empieza a descubrir el potencial de la consola.

Happy Hacking!

Hace 3 años en esa fecha: Mi breve análisis de Window 8

Hace 7 años en esa fecha: Unreal Tournament 3 contra Halo 3

Hace 9 años en esa fecha: El nuevo Ipod GIGANTE (1TB de música)