miércoles, 27 de febrero de 2013

Phishing, Uno de los peligros que corremos en internet

El otro día iba tranquilamente viajando en el coche con mi chica (conduciendo ella por su puesto) cuando recibo una alerta en mi teléfono móvil, al mirarlo vi que era un mensaje de Twittter diciendo “Te han enviado un mensaje directo”. Con sinceridad me puse muy contento (acabada de publicar la última entrada en el blog y pensaba que sería alguien que me comentara algo sobre el articulo o similar). Al entrar a Twitter encontré siguiente mensaje:


El cual me recibía a un enlacen a una página (que posiblemente ya no exista http://tvviltter.com/3/verify/?&account_secure_login). Al pinchar y tras mirarla uno segundo me d cuenta de que era un phising. Sinceramente estaba muy bien hecho y se parecía mucho a la web de Twitter, me mosqueo la url eso de tvviltter era muy raro, además de que echara de la aplicación nativa del móvil para pedirme de nuevo credenciales.

Al final piensas,” bueno me hubieran cogido las credenciales de mi Twitter, una pena pero me hago otro y ya está o la cambio rápidamente antes de que me la quiten".

Pero claro esto se daría si fuéramos conscientes de que han descubierto nuestras contraseñas pero… ¿y si no lo fuéramos y no la cambiamos?.

Se me plantea una pregunta. Seamos sinceros por un momento, que levante la mano quien tenga una contraseña distinta en cada uno de los servicios que tiene. Efectivamente muchos tenemos la misma para varias cosas porque si tuviéramos una para cada servicio teníamos que llevar el libro gordo de petete con todas las contraseñas. 

En el caso concreto de Twitter, para empezar serían capaces de tener acceso a tus contactos posiblemente a tus datos personales y no sería muy raro que a tu correo. Como además sea un correo serio en el que por ejemplo tengas tu hosting o tu PayPal te pueden hacer un desfalco de fondos de una forma muy fácil y rápida.


¿Y si siempre utilizamos contraseñas de servicios generales como Openid Twitter Google Facebook…?

Esta es una de las nuevas vertiente que se está utilizando y es pedir iniciar sesión con una cuenta de otro servicio en este (por ejemplo en TwitterFeed puedes iniciar sesión con una cuenta de Twitter). Como esto tenemos la ventaja de que si cambamos la contraseña para el servicio, digamos padre, lo tendremos cambado para todos pero aun así si no nos damos cuenta de este problema es fácil que nos cueste un dolor.


Perder el Smartphone, otro gran problema

Actualmente veo mucha gente que tiene un teléfono inteligente donde tiene su correo, sus contactos, en definitiva media vida. No tienen ni un triste código de desbloqueo, es decir s pierden el teléfono quien lo encuentre tiene acceso a todos sus datos, contactos etc.


Debemos hacer una reflexión y cuidar un poco nuestras contraseñas para así cuidar nuestros datos.

Poner un código de desbloqueo a un teléfono, es algo que quizá al principio es un poco engorroso, pero una vez que coge la costumbre resulta algo totalmente automático.
Tener varias contraseñas según los servicios que utilicemos es muy importante, sobre todo pensar que la piedra angular es nuestro correo electrónico en el que guardamos gran cantidad de datos además de la posibilidad de cambiar con él las contraseñas de otros servicios.
Ciertamente hay que decir que poco a poco las compañías también nos ayudan, por ejemplo al introducir en mi ordenador el enlace a la web que comentaba me parecía esta pantalla

Además Twitter elimino de forma automática este mensaje de mi cuenta. Pero la realidad es que desde mi teléfono se veía esto y este es el problema, el momento en el que te consiguen engañar y pierdes la exclusividad de acceso a tu cuenta.


Conclusión y reflexión
  • Tener varias contraseñas según la importancia del servicio para nosotros y sobre todo asilar la cuenta de correo principal del resto.
  • Tener bloqueado nuestro teléfono y poder rastrearlo o borrarlo en remoto.
  • Utilizar servicios de contraseñas centralizados siempre que sea posible (ya que facilita el cambo de contraseñas en los demás servicios)
  • Revisar las direcciones de las páginas y si encontramos algo sospechoso no continuar e intentar informarse y si realmente es fraudulento denunciarlo (a la web, al proveedor y/o a la policía)
  • Ante cualquier mínima duda, cambiar las contraseñas del servicio.
  • Si nos vemos afectados por un problema denunciarlo a las autoridades pertinentes (policía, guardia civil)

Si seguimos estas normas más o menos básicas, seremos capaces de mantener nuestra identidad en internet privada.

Si conoces algun consejo más que no haya nombrado que te permite mantener tu identidad a salvo, quieres comentar algo, el blog está abierto para ti. 

Muy importante, comentar o republicar parte de este articulo porque te ha sido útil, por favor cita la fuente y el autor del mismo (vamos, cítame) y pon un enlace al artículo de mi blog

Muchas gracias por leerme.

Saludetes

miércoles, 20 de febrero de 2013

Cifrado con TrueCrypt

En informática la seguridad siempre es un tema muy importante. A menudo, cuando realizamos un proyecto, al tener plazos ajustados ésta se descuida un poco, pero cuando ocurre un desastre siempre nos acordamos de ella.
Cifrado de datos sensibles, firewalls, software antivirus, copias de seguridad, imágenes de discos… hay muchos factores que se deben planificar para que si ocurre un desastre sea fácilmente solucionable o mejor aún, para prevenir dicho desastre.
Hoy en día, a la velocidad que nos movemos uno de los desastres que empieza a ser más común y más difícil de solventar es la pérdida de un dispositivo (pendrive, disco duro o incluso un portátil) con el consiguiente posible filtrado de información. Es este post voy a enseñaros una pequeña aplicación (pequeña por tamaño, pero grande en funcionalidad) para evitar la filtración de información.


¿Qué es TrueCript?



Vamos a empezar por presentar la aplicación. TrueCript es una aplicación para cifrar y descifrar discos, unidades o incluso emular una unidad cifrada en un fichero (al estilo de un zip) de forma fácil y rápida.  Utiliza varios algoritmos de cifrado, los cuales podemos escoger o dejar al programa que escoja por nosotros. Tiene versión para los sistemas operativos más usuales (Windows, Linux y OSX). Es Open Source (aunque tiene algunos problemas con su licencia de uso) y además se distribuye gratuitamente (si nos gusta podemos donar para que el proyecto siga avanzando) podemos obtenerlo de su página web http://www.truecrypt.org/

Alternativas: 
Partiendo que tenemos un equipo con Windows (siento no poder nombrar utilidades de otros sistemas operativos) tenemos la encriptación EFS (que funciona muy bien) pero tiene el inconveniente que cifra a nivel de usuario, dominio o máquina (si esta no pertenece a un dominio). Por lo que si tenemos un desastre lo suficientemente grande y no tenemos un certificado de seguridad creado previamente podemos perder los datos.
Bitlocker, es otra de las opciones, pero tiene el problema de que siempre cifra unidades completas (discos duros, pendrives).
Además estas dos utilidades tienen el problema de que son propietarias de Microsoft por lo que es muy probable de que no funcionen en ningún sistema que no sea Windows.

Ventaja respeto a estos:
  • Independencia del sistema operativo.
  • Posibilidad de cifrar una unidad ya sea de almacenamiento de datos, como de arranque del sistema operativo.
  • La posibilidad de crear un volumen cifrando en un fichero. De esta manera ese volumen puede ser copiado a cualquier unidad (incluso enviado por correo o subido a la nube) y tendiendo el software TrueCript podremos descifrarlo. Esta opción me pareció muy útil y es la que vamos a tratar en este tutorial.
  • Además es compatible con las dos alternativas anteriores pudiendo obtener un doble cifrado (podemos cifrar un disco con BitLocker, guardar dentro un fichero con un volumen cifrado de TrueCrypt  por ejemplo).

Creando un volumen cifrado con TrueCript

Instalamos la aplicación (no tienen ninguna complejidad) y la ejecutamos.  Aparecerá una pantalla como esta.

Vamos a crear un nuevo volumen cifrado por lo que pulsamos en el botón “Create Volume” y nos aparece un asistente.

Marcamos la primera opción ya que vamos a crear un volumen cifrado en un fichero o contenedor de ficheros cifrado como dicen en la opción.

En esta pantalla nos pregunta, donde queremos guardar el contenedor. Pulsamos en “Select File”.

 
Buscamos donde queremos guardar el fichero (que será nuestro volumen cifrado) y le damos un nombre al fichero.

Una vez guardado el fichero pulsamos siguiente para pasar al siguiente paso.


En esta pantalla nos pregunta por la encriptación. Podemos seleccionar del desplegable la que queríamos y el algoritmo que queramos. Para el ejemplo voy a dejarlo así, pero podemos jugar con estos datos a nuestro antojo. Es buena idea saber en qué cosiste cada algoritmo y buscar cual nos interesa más para nuestros datos.
Una vez escogido pulsamos siguiente



En esta pantalla vamos a configurar el tamaño que tendrá nuestro volumen, hay que decir que en el momento que generemos el volumen este cogerá el tamaño utilizado de forma inmediata, no crece dinámicamente según se va ocupando (como hacen por ejemplo las máquinas de vmware).



En esta pantalla es en la que vamos a poner la contraseña a nuestro volumen
Tenemos varias opciones:
  • Poner una contraseña
  • Generar uno o más certificado
  • Utilizar uno o más ficheros como certificado
Y las posibles combinaciones de estas, contraseña y fichero/s, contraseña y certificado/s.
Si solamente vamos a proteger con contraseña escribimos y pulsamos siguiente.
Si queremos utilizar uno o más ficheros como certificado marcamos “use keyfile” y pulsamos el botón “keyfiles”
Si queremos contraseña y certificados escribimos la contraseña y marcamos “use keyfile” y pulsamos el botón “keyfiles”



En esta pantalla podemos pulsar en “add files” y añadimos los ficheros que queramos como certificados.
 
Si deseamos generar un fichero de claves debemos pulsar sobre “Generate Random KeyFile” y una vez creado este, debemos añadirlo como un fichero pulsando “add files”.



Para el ejemplo he utilizado una imagen cualquiera. Si utilizamos un fichero como firma, éste debe ser inmutable porque si este cambia, perderemos el acceso a nuestro volumen y por consiguiente los datos contenidos en él.


Una vez que está generado el volumen, vamos a formatearlo para poder introducir los ficheros dentro de este. Seleccionamos el sistema de archivos (aconsejan Fat a menos de que el volumen sea muy grande). Y pulsamos el botón format



El proceso está generando el formato del volumen.



Una vez terminado el formateo el software nos avisa de que nuestro volumen ya a sido creado.



Una vez creado pulsamos “Exit” para terminar y volveremos a la pantalla inicial



Como montar o conectar un volumen de TrueCript
Estando en la pantalla principal, debemos seleccionar en el cuadro de arriba, en que unidad vamos a montar el volumen y pulsar el e botón “Select File”



Nos aparecerá un cuadro de búsqueda donde debemos seleccionar el fichero de volumen creado. Y una vez seleccionado pulsamos abrir



Volvemos a la pantalla inicial y ahora pulsamos el botón “Mount”, al pulsarlo en programa nos solicita la contraseña y lo ficheros de certificado para descifrar el volumen.

Debemos rellenarlos en función de la creación de nuestro volumen y pulsar ok. En ese momento la unidad aparecerá en nuestro equipo como un disco duro más.


Si copiamos cualquier fichero dentro de la unidad j este será encriptado.

Por ejemplo el fichero teléfonos está cifrado.

Desmontar o cerrar un volumen de TrueCript

Si deseamos desmontar la unidad cifrada podemos o bien cerrar sesión de Windows (por defecto desmonta las unidades) o abrir el programa seleccionar la unidad y pulsar “Dismount” (Sustituye a  “Mount” cuando el volumen está montado)

Y la unidad se desmontará




Icono de notificación
También comentar que cuando TrueCript funciona deja un icono en el área de notificación (al lado del reloj).
Si TrueCript está funcionando y tiene un volumen montado el icono esta de color.. digamos que marrón... o algo así



Mientras que si no existe ningún volumen descifrado permanecerá en azul



Espero que este tutorial haya sido de vuestro agrado y sirva de ayuda para que tengamos nuestros ficheros un poco más seguros.
Cualquier cosa, me comentáis

Muy importante, si decides copiar este tutorial, por favor cita la fuente y el autor del mismo (vamos citame) y pon un enlace al articulo de mi blog

Saludetes a tod@s

lunes, 11 de febrero de 2013

La capacidad de saber parar



El otro día estuve leyendo el blog de uno de mis antiguos profesores (http://luisdiazdeldedo.blogspot.com.es/2013/01/los-riesgos-de-emprender-mas-alla-del.html) Luis Del dedo, un gran tipo, sinceramente me dio mucha pena leerlo.. Contaba un poco su andadura con su proyecto, su StartUp Gamisfaction. Contaba como poco a poco iba dedicando cada día más tiempo a su proyecto hasta llegar al punto en el que se encuentra actualmente.


Bien es cierto que cuando te dedicas a algo que realmente te apasiona descuidas las demás partes de tu vida y como esta absorbe cada vez más tiempo. Es muy importante saber parar a tiempo. Yo también me encuentro inmerso en mil cosas a la vez, unas me gustan más que otras pero siempre tengo cosas que hacer. Parece que uno es incansable, pero eso no es cierto y finalmente siempre las personas que acaban pagando el pato son las personas más cercanas a uno. Unas veces por que dejan de verte, otras veces por que los momentos que pasas no son buenos y otras simplemente porque estas tan inmerso en tus cosas que nada importa lo de los demás.


Parece que, cuantas más horas hechas, más cosas haces y está demostrado que no es así.

Muchas veces nos obsesionamos con hacer las cosas de determinada manera y por más veces que lo intentamos y no estrellamos no somos capaces de ver una mejor solución. Yo creo que ni soy el primero, ni el último que cuando se está tomando un café con un amigo es capaz de olvidar lo que está haciendo y al volver a ponerse, “tachán”, una nueva idea que soluciona el problema de una forma mágica que si hubieras seguido nunca hubieras encontrado.


La mente necesita despejarse para así que con nuevo aire surjan nuevas ideas. Aunque parezca que no nuestra mente sigue trabajando en el problema.



Hay que recordar que lo importante eres tú y no tu trabajo. Hay que trabajar para vivir, no vivir para trabajar.



Por lo que es muy importante saber parar. Da igual si le dedicas 2, 4 u 8 horas a tus proyectos, pero debes dedicarle un tiempo finito, sino el proyecto absorberá todo tu tiempo y por consiguiente, tu vida. Hay que aprender a parar y hacer caso cuando te dicen para porque si llegas a este punto, es que algo malo está ocurriendo o va a ocurrir.



Voy a dedicar este post a toda la gente que está a nuestro alrededor y descuidamos de más cuando nos encontramos inmersos. Y sobre todo para esta gente


¡¡¡¡¡Ayudarnos a parar!!!!!



Saludetes a tod@s y perdonarme por la veces que no he sabido parar

lunes, 4 de febrero de 2013

HOW TO o Como montar un servidor SFTP sobre Windows 2003 sin morir en el intento.



El jueves pasado me vi en la necesidad de montar un servidor de ftp seguro con seguridad ssh. Es decir un SFTP. Hace mucho tiempo yo monte un servidor de estas caracteristicas sobre un servidor CENTOS 5 que funcionaba francamente bien, pero en este caso todas las maquinas que tenemos son Windows y no vamos a comprar una máquina para un solo cliente.


Primera solución que encontré fue instalar OpenSSH:

Sinceramente instalarlo no tiene mucha complicación, configurarlo existen miles de tutoriales donde explican cómo hacerlo y con sinceridad es fácil… pero… (Siempre hay un pero y aquí el objeto de este post) la versión de OpenSSH de Windows no tiene soporte para “enjaular” a los usuarios. Es decir el usuario del ftp campa a sus anchas por tu servidor. En Linux es muy fácil cambias un par de líneas y solucionado, pero Windows imposible.

Segunda solución montar el servidor a través de cygwin:

Es un poco bastante más complicada que la anterior y por desgracia tiene exactamente el mismo problema, no podemos enjaular a un usuario la función ChrootDirectory sigue sin estar soportada. Por lo que mi gozo en un pozo.

Cuando empezaba a quedarme sin opciones, pensé en buscar algún servidor ftp que soportara este protocolo. Tras un par de búsquedas y finalmente encontré la solución

Tercera solución freeFTPd:

Es un servidor de ftp y sftp muy, muy pero que muy sencillo de configurar y para un caso como este suficiente. Lo instalamos configuramos los usuarios del domino que queramos que accedas y listo. Permite autentificación de usuarios mediante claves ssh, contraseñas y autentificación NT. Por lo que con dar de alta los usuarios es suficiente para empezar a funcionar. Y este sí que me permite “enjaular” a mis usuarios para que no intenten “hacer cosas malas”. Es muy fácil de configurar pero para lo que no estén muy duchos también os dejo un tuto, pero veréis que no tiene misterio ninguno.

Como problema tengo que decir que al no ser un usuario administrador de la máquina y estar montado en un servidor, es necesario que el usuario pueda “iniciar sesión en la maquina local” sino nunca deja conectar al usuario. Este problema ocurre con cualquiera de las tres opciones.

Espero que a más de uno le sirva de ayuda

Saludetes a tod@s