En Mozilla suelen invitar a sus oficinas grandes profesionales para compartir su experticia en un área. Las ponencias son compartidas en tiempo real al personal y algunos voluntarios. De esta forma todos podemos aumentar nuestros conocimientos en diversas áreas de la web abierta. Hace unas semanas estuvo Mikko Hypponen, un experto en seguridad informática. Comentando sobre los ataques informáticos desde los inicios, los actuales y el futuro de los mismos.

El contenido del vídeo

Me encantó esta charla porque es interesante ver la evolución de las fallas informáticas, da nostalgia recordar como eran. Es increíble darse cuenta cómo lo que sucede actualmente, hace unos años era considerado ciencia ficción. Además, en la última sección del vídeo da un análisis muy interesante de como será el futuro de esto. ¡Ojalá no sea tan feo como lo predice!

Espero que te haya gustado y recuerda compartirlo con otros.

Happy hacking!

En artículos pasados he hablado sobre tener una página segura desde el punto de vista del software y como programador, pero en este artículo me enfocaré en la seguridad y transmisión de los datos a través del cifrado.

Si tienes una página web, como por ejemplo un sitio de casinos como Casino.com donde se cobra por ofrecer un servicio de entrenamiento, el cual debe funcionar correctamente y evitar manipulación de la información, con el fin de mantener una buena calidad para que sus suscriptores sigan pagando por el servicio y producir ganancias. Puedes ser un blanco más atractivo para crackers o piratas que deseen robar/alterar la información para beneficio propio, por lo que se recomienda tomar ciertas medidas para incrementar la seguridad.

Cifrado de la transmisión de la información

El primer paso consiste en cifrar la comunicación desde tus servidores hasta tus usuarios, para ello debes adquirir un certificado digital para implementar el protocolo HTTPS en tu sitio. Este protocolo permite que todo el contenido web de tu sitio esté cifrado, así si un atacante lograra de alguna manera intervenir algún punto de la comunicación, no podrá entender el contenido del mensaje transmitido pues solo verá caracteres ilegibles. Adicionalmente, ahora los motores de búsqueda premian si tu trafico está cifrado por lo que además te servirá para tener mejores resultados en los buscadores.

Cifrado de la información almacenada en el lado del cliente

Una vez cifrada las comunicaciones, se recomienda cifrar la información sensible como: datos bancarios, dinero, tarjetas de crédito, contraseñas, información personal, entre otras. Este proceso debe ser aplicado en lado del cliente y en tus servidores, el primer caso suele ser ignorado pero es muy importante, pues la data que tiene un usuario puede ser alterada fácilmente para engañar a tu sitio y obtener acceso administrativo.

Para ello, se recomienda cifrar todo tipo de información que se guarde en cookies, almacenamiento local del navegador, archivos de reportes entre otros. Pues al estar guardado localmente, es fácil de editar con las herramientas de desarrollo del navegador.

Cifrado en el lado del servidor

En el lado del servidor, debes descifrar y validar toda la información recibida desde el cliente, asume que toda información recibida puede ser potencialmente maligna, así que toma medidas de seguridad al leer esos datos. Si almacenas en el servidor información en archivos o base de datos, cifra toda información sensible, porque si tu software falla y pueden tener acceso al servidor, de nada les servirá si la información se encuentra cifrada, o en el peor de los casos, si conocen como descifrarla, les tomaría decenas de años poder acceder a algo.

Si tienes varios servidores con diferentes propósitos: base de datos, aplicación web, archivos. Recuerda cifrar el canal de comunicación entre ellos y validar la identidad para evitar alguna suplantación, utiliza protocolos como HTTPS y SSH para la comunicación entre servidores.

Conclusiones

Con estos breves consejos podrás incrementar la seguridad de los datos en tu sitio web, te recomiendo seguir investigando sobre este tema y compartir en la caja de comentarios algo que consideres oportuno para mejorar la seguridad de tus datos. Aunque nunca puedes garantizar un 100% de seguridad, siempre puedes poner este tipo de barreras a tus atacantes para reducir a una probabilidad muy baja, la posibilidad de sufrir un daño en tu información.

Internet es un medio de comunicación diseñado para que la información pudiese ser accedida de forma abierta y por cualquiera, pues en los inicios eran pocas las personas con acceso a la red. Pero fue evolucionando y se comenzó a transmitir información delicada como: datos personales, números de tarjeta de crédito, información bancaria, compras, entre otros. Asimismo, evolucionó para ofrecer páginas web seguras y brindar confianza a los usuarios frente a operaciones monetarias, información personal y más.

A continuación te daré unos breves consejos (todo este tema se puede expandir muchísimo) para tener una página web segura.

Alojarse en un servidor seguro

El primer paso es contar con un servidor seguro, esto se traduce principalmente en tener todo el software del sistema operativo y servicios actualizados, pues todos los días se descubren fallas de seguridad que los atacantes pueden correcciones de estas fallas y disminuyes consideradamente cualquier riesgo. Además debe estar configurado para ofrecer sólo los servicios necesarios, por ejemplo, si es solo un servidor web no debería estar el servicio de correo instalado (en caso que no se ofrezca) pues si se descubre un fallo en el mismo, puedes ser víctima de un ataque gracias a una aplicación que no era necesaria que estuviese en ejecución.

Es mandatario contar con un cortafuego (firewall) bien configurado, pues permite controlar las conexiones de red, el acceso al servidor o sistema y más. Este software es esencial para la seguridad, pues permite ocultar o proteger el acceso no autorizado de desconocidos, también de muchos tipos de ataques realizados por conexiones como los es DOS o DDOS donde muchas computadoras empiezan a solicitar más recursos de los que puedes proveer.

Si te parece muy compleja o técnica esta parte, entonces lo mejor es que pagues por un proveedor de alojamiento (hosting) como lo hago yo, de esta manera no pierdes tiempo en ello y te dedicas a otras cosas más importantes. Además, la mayoría de las empresas cuenta con personal capacitado para mantener todo el servidor seguro y recuperarlo ante cualquier desastre.

Cifrado de la comunicación

Cuando visitas una página, los datos deben ir desde tu equipo hasta el servidor donde está la página que vas a visitar, durante el camino existe la posibilidad de que tu información sea leída por terceros si ésta no está cifrada. Por ello debes asegurarte de implementar un protocolo de comunicación como HTTPS que permite transmitir la información de forma segura, pues si alguien tuviese acceso a interceptar tu data, no podrá leerla al estar cifrada (por lo tanto no es entendible).

En la misma compañía donde alojas tu página web segura, puedes solicitar un certificado TLS para implementar HTTPS y cifrar tus comunicaciones. Si andas corto de dinero, puedes utilizar el servicio Let’s Encrypt que te permite generar certificados de forma gratuita y respalda por grandes de Internet como Mozilla.

Páginas web seguras

Si tu navegador muestra HTTPS, tu conexión está cifrada

Tu página web segura o el software web

El software o la aplicación web es la parte donde se debe tener mayor cuidado, pues es la primera capa a la cual el usuario tiene acceso y generalmente donde se empieza a buscar vulnerabilidades. Aquí la principal norma es asumir que todo dato recibido por el usuario puede estar mal o ser maligno, por lo tanto se debe realizar comprobaciones sobre la seguridad de la data recibida: que el origen sea válido, contenido válido, contenido requerido y no se esté recibiendo otro tipos de cosas, entre otros.

El software también tiene que estar diseñado para soportar roles y separar las acciones de usuarios de administradores, e inclusive, cada sistema debería estar aislado para evitar la propagación de fallas o ataques. En realidad existen muchas cosas que se deben tomar en cuenta al desarrollar software, pero realizando auditorías y pruebas pueden verificar que todo esté funcionando bien.

Ejemplo de páginas segura

Por ejemplo, una página web segura para jugar al blackjack online es Casino.com, sitio que cumple con estas normas. Pues para ofrecer su excelente servicio de juegos deben asegurarse que ninguno de los clientes va a hacer trampa y dañe la experiencia del juego. Su software está validado para detectar cualquier anomalía y protegerse ante ella, los servidores están bien asegurados en caso que alguien quisiera saltarse la protección de las aplicaciones, la comunicación se encuentra cifrada y validada a través de su certificado TLS, permitiendo tener una buena partida de apuestas en línea sin problemas.

Espero que con estos consejos entiendas lo mínimo para tener un sitio seguro, recuerda que es una breve introducción al tema, pues existen muchas cosas que se deben comprobar y aplicar, generalmente hecha por muchos profesionales del área. Y por más que quisiéramos, la seguridad total no existe sólo podemos reducir la probabilidad de ser atacados.

Para los amantes de la seguridad informática y las consolas, tenemos una gran noticia para empezar el año. Pues el grupo de hackers denominado fail0verflow han realizado una presentación en el pasado Chaos Communication Congress, donde muestran el Playstation 4 (PS4) hackeado para correr Linux en él, inclusive, ejecutan un emulador de Gameboy Advance para mostrar el nivel de acceso al hardware.

Me parece interesante el exploit utilizado, pues parece que aprovechan una vulnerabilidad conocida de Webkit, el motor del navegador web del PS4 y a través de allí logran arrancar Linux. Como la arquitectura de un PS4 es igual al de una PC (x86-64), Linux ya soporta gran parte del hardware por defecto. Sin embargo, es mejor que vean el vídeo por si mismos:

Para mas información, puedes visitar el sitio de fail0verflow y empieza a descubrir el potencial de la consola.

Happy Hacking!

No recuerdo como llegué a obtener el enlace a este documental de Hackers, pero cuando leí el título pensé que era un documental reciente porque no conocía el título. Para mi sorpresa al empezar verlo, es un documental de 1984 realizado en un encuentro de Hackers, pero incluye a leyendas como Richard Stallman y Steve Wozniak.

Les recomiendo ver este corto documental (dura menos de media hora) y es interesante como eran los primeros hackers, como ha cambiado la tecnología y la gran influencia de ellos en el movimiento actual.

Si te gustó, no dudes en compartirlo en redes sociales o dame tu opinión del vídeo.

Si estas en el mundo de la seguridad informática, cyberpunk y hacktivismo, estoy seguro que conoces a Julian Assange el creador de Wikileaks. Durante el tiempo que estuvo bajo arresto domiciliario (antes de estar encerrado en la embajada de Ecuador) recibió una visita de Eric Schmidt (para ese entonces el CEO de Google) y con las grabaciones de las conversaciones que tuvieron ese día (con previo permiso), transcribió y editó algunas de ellas para crear la publicación llamada: «Cuando Google se reunió con Wikileaks».

Primero, les puedo decir que no es una obra literaria sino una recopilación de las transcripciones de las conversiones, por lo que a lo largo del libro simplemente estarás leyendo lo que ellos conversaron, pero con un contenido muy interesante. Algo que me gustó mucho, fue el uso constante de citas y referencias a lo largo del libro, permitiendo expandir la información de la conversación o leer sobre el tema para comprender de lo que están hablando Schmidt y Assange. Entonces, puedes parar la lectura si andas perdidos y ponerte a investigar las referencias para entender bien el tema y así volver al libro para comprender el análisis que ellos hacen.

Respecto a los temas, me impresionó como trabaja el gobierno de Estados Unidos en conjunto con las mega-corporaciones informáticas para tener acceso a información, también como Hillary Clinton se relaciona con Schmidt y a su vez con Google, el poder de empresas como Google para controlar a la sociedad, entre otras cosas. A pesar de que el contenido principal son temas políticos, para los fanáticos de la tecnología hay una sección donde habla sobre como funciona internamente Wikipedia y como logran evadir algunos controles o censura por parte de gobiernos, lo cual me llamó la atención porque no es tan complicado como imaginaba.

Cuando Google se reunió con Wikileaks

Cuando Google se reunió con Wikileaks

Finalmente, te recomiendo leerlo si te llama la atención el hacktivismo, te interesa realmente como funciona el mundo, cómo las gobiernos se unen a las grandes corporaciones para controlar su pueblo y como cada día contamos con menos privacidad en la red, te preocupas del poder de Google, por mencionar algunas. Así que vé y compra el libro, cuyas ganancias contribuyen a Wikileaks.

Una de las principales preocupaciones de los usuarios de WordPress es el acceso al panel de administración, pues por defecto se encuentra en la ruta /wp-admin y está compuesto de un simple formulario que puede ser atacado por fuerza bruta. Por eso les voy a recomendar dos complementos para aumentar la seguridad de tu sesión en WordPress, al implementar autenticación de dos factores (Two Factor Authentication) y cambiar la ruta por defecto del formulario de inicio de sesión:

  • Rename WP Login: es un plugin muy liviano y sencillo, simplemente te permite definir una url personalizada para el formulario de inicio de sesión en la pantalla de enlaces permanentes, como por ejemplo http://tusitio.org/entrar-al-admin/. Aunque en el título dice que el plugin no tiene soporte, el autor se refiere a que no posee tiempo para resolver cualquier duda que se presente en los foros , sin embargo, acepta parches de código, nuevas funcionalidades, correcciones de bugs, entre otros. Por lo que puedes instalarlo sin preocuparte de que esté obsoleto.
  • Clef: un plugin recomendado por Manuel Camacho, consiste en una autenticación de 2 factores, es decir, aparte de brindar una información que solo tú conoces, debes dar información generada de un objeto que tienes contigo (el móvil o una tarjeta por ejemplo). En este caso, una vez que instalas el plugin la pantalla de inicio de sesión cambia a una especie de QR dinámico, el cual debes escanear con tu teléfono móvil a través de la aplicación Clef, una vez que reconoce el patrón único automáticamente inicia sesión en el sitio, lo chévere es que desde el teléfono controlas el tiempo de sesión e inclusive cerrarla remotamente. También se configurar para usar el inicio tradicional como respaldo en caso de que no tengas el teléfono contigo.

 

Utiliza Clef para aumentar seguridad de tu sesión en WordPress

Ejemplo de como funciona Clef

Con estos 2 sencillos plugins que puedes instalar y configurar en poco tiempo, podrás seguridad de tu sesión en WordPress, o mejor aún, el de tus clientes. Finalmente, si conocen alguna alternativa o desean compartir información adicional, no duden en dejar un comentario para mejorar la seguridad de nuestros sitios.

Editado el 15/06/2016: Ya el servicio de Clef no está disponible 🙁 puedes usar Google Authenticator para validar tus credenciales.