Daboweb | Seguridad y ayuda informática |

Corría el año 2003 cuando los primeros rumores sobre la situación financiera de una de las distribuciones linuxeras mas importantes salían a la luz, tras los cuales se declaraba una suspensión de pagos. Tras varios cambios en la dirección de la popular Mandriva, no parece que esta remonte el vuelo y nuevamente nos llegan noticias sobre el delicado estado de las cuentas de esta empresa.

Mandriva se enfrenta ahora a un plan de rescate que en caso de fracasar solo tendrá como solución la compra de la misma por parte de alguien interesado en devolver «los años felices» a esta popular distro linuxera, ya que la otra solución que están barajando, convertirse en una fundación, no agrada a sus empleados, debido a que esa alternativa no garantizaría un plan económico viable que asegurase los puestos de trabajo de la plantilla. Entre los rumores de compra que circulan, el mas fiable parece ser el de Linagora, que con este sería ya su segundo intento de compra tras el fallido del año 2007, y cuyas pretensiones parecen ser volver a la filosofía del software libre, es decir, código abierto y gratuito, con lo que el Powerpack que actualmente comercializa Mandriva sería eliminado debido al excaso margen de beneficios, siendo sustituido por una posible fusión de productos de ambas empresas

Linagora parece que cuenta con la comunidad de usuarios, la cual seguiría marcando las lineas generales de desarrollo de Mandriva poniendo especial énfasis en el trabajo de los desarrolladores y programadores de la misma. Lo que no está confirmado (porque recordemos que nos estamos moviendo en los terrenos de la rumorología) es un posible cambio de nombre para la distribución, lo que sin duda estaría encaminado a un buen lavado de cara para buscar una salida a esta situación que ya dura mucho.

Estaremos atentos al futuro de la distribución con la que muchos nos iniciamos en esto de GNU/Linux y que por desgracia no parece poder salir de la mala gestión que se ha hecho de ella en los últimos tiempos, que junto con la penosa situación de los mercados que estamos padeciendo la vuelven a sumir en la incertidumbre.

Desde hoy y sin una fecha prevista de finalización, porque la seguridad informática es un campo sujeto a constantes cambios, entre nuestros contenidos habituales, tendrá un protagonismo especial esta nueva sección de seguridad básica para todos los públicos y niveles que tengo el placer de presentaros en nombre de los compañeros de Daboweb.

También es una vieja petición de muchos de los lectores habituales, el poner al día y en un orden lógico algunos de los contenidos que tenemos ya publicados, por lo que los iremos poniendo dentro un índice en una nueva sección visible en la zona superior de la web cuando llevemos ya un número determinado de entradas.

¿Qué contenidos se podrán ver?

Intentaremos abarcar prácticamente todos los aspectos que os puedan preocupar en vuestro uso habitual del ordenador, los contenidos podrán ser consejos breves, tutoriales de programas concretos, vídeos o textos más detallados, en definitiva, lo que veamos más adecuado para cada entrega de la nueva sección. Todo ello de una forma sencilla de entender y muy práctica o al menos, ese será nuestro próposito.

Utilizaremos tanto contenido de Daboweb, como de otras webs o blogs de quienes habitualmente publicamos contenidos aquí, algunos de ellos, los podéis ver a la derecha en la barra de enlaces.

Normalmente, las noticias de la web las vamos agrupando en un foro específico con el fin de que podáis comentar dentro del foro lo que se ve en nuestra portada día a día, en este caso y para no mezclar contenidos, hemos abierto un post en la zona alta del foro «Nueva sección Seguridad básica» y allí podréis dejar las dudas específicas o comentarios sobre un tema en concreto, dejarnos alguna sugerencia, crítica, petición, etc.

¿A quién va dirigido?

A cualquier usuario interesado en la seguridad de su sistema y en la privacidad de sus comunicaciones. Abarcaremos diferentes campos críticos hablando de seguridad, tanto local como remotamente. Los consejos y apuntes que iremos dando, podrán ser útiles para usuarios de Windows, GNU/Linux o Mac OS X, siendo Windows el que, hablando de algunos tutoriales o manuales que iréis viendo, pueda tener un mayor protagonismo, pero vamos a intentar también hablar de temas genéricos que sirvan para cualquier plataforma.

Como he comentado anteriormente, una de nuestras premisas es que sea para todos los niveles y todos los públicos. La gente que empieza es la que más ayuda necesita, por lo que en nuestro ánimo está llegar a ellos de la forma más clara y didáctica posible.

¿Cómo puedo ayudar?

Participando en el hilo del foro sobre esta nueva sección, haciéndote eco en tu web o blog del material que iremos publicando regularmente si lo consideras interesante, o incluso, si crees que puedes ayudarnos creando algún tutorial o manual en concreto, puedes hacérnoslo saber a través de nuestro formulario de contacto. Muchas gracias por adelantado.

Desde nuestros comienzos apostamos por una Red abierta, una forma de ver y sentir Internet como ese lugar donde compartir la información y conocimientos adquiridos. Ese es el pilar fundamental donde se apoya este proyecto. En Daboweb, al igual que a muchos de vosotros, no nos mueve un interés económico en lo que hacemos, por lo que la mejor recompensa, es la sensación del trabajo bien hecho y que lo que haces, llega al mayor número de gente posible.

Lógicamente, los contenidos de esta nueva sección, al igual que el resto de los que publicamos, están licenciados bajo Creative Commons, con lo que respetando los términos de la licencia, cualquiera puede hacerse eco de ellos. Un saludo en nombre de todo el equipo.

Entradas publicadas de Seguridad Básica:

• Seguridad básica para los que empiezan.

• ¿A qué nos enfrentamos?.

• Las contraseñas.

• La pregunta secreta.

• Analiza siempre tus descargas con el antivirus.

• Utiliza cuentas de usuario limitadas.

• Enlaces cortos, como crearlos, precauciones.

Inesperada ya que el equipo de desarrollo de Debian anunció que el pasado 15 de Febrero era la fecha limite de soporte para la actual versión «oldstable» (Etch), por lo que todos dábamos el ciclo de vida de Etch por finalizado.

Esta actualización viene para corregir numerosos e importantes bugs localizados en Etch, por lo que si además de usar esta versión como entorno de escritorio,  lo haces en un servidor web, aún siendo lo aconsejable que se actualice a Lenny (versión estable), es de carácter urgente aplicar este update.

Fuente y más información en DebianHackers.

Si decimos que la industria del Malware, además de molesta, perniciosa y cansina, está siempre «a la última» en cuanto a técnicas de infección-redifusión, no sería nada nuevo ya que de todos es sabido.

Pero no está de más tener en cuenta esta información que podemos leer en Slashdot (ENG) con origen en este enlace (ENG), en la que se hacen eco de un aumento de ataques a través de servidores DNS vulnerables o con configuraciones potencialmente explotables, que son un filón para los crackers que consiguen hacerse con el control de esos servidores DNS, redirigiendo varios subdominios legítimos a una IP diferente y desde donde se llevan a cabo los ataques (de todo tipo) hacia el usuario a través de su navegador.

Sirva también a modo de recordatorio para los que administramos un servidor web, ya que como bien apuntan en la entrada original, a veces, una vez que has configurado las zonas DNS así como los diferentes dominios principales y subdominios, puede que no se revisen con la frecuencia que sería deseable y más si son subdominios creados no para servir páginas, sino para alojar por ejemplo imágenes, ficheros, etc, donde rara vez se consulta vía web sino más bien por FTP-SFTP.

Aunque personalmente opino que si ya se han hecho con el control de tu DNS, estás técnicamente K.O. Si hablamos de un servidor web bajo GNU/Linux, no está de más revisar esas configuraciones DNS y usar herramientas como «nslookup» o hacer consultas DNS con el comando «dig» para ver que está todo correcto y que tanto los dominios principales como subdominios, apuntan a IPs correctas.

Y para acabar, hablando de subdominios, es importante revisar a nivel de Apache que no queden expuestos o la vista de todos los subdominios (listado de directorios), aunque con un simple «index.php» o «.html» en el directorio principal del subdominio, caso de que como dije antes no se sirva tráfico web desde él, el contenido alojado dentro no quedará expuesto.

Ha sido reportada por parte de Nikolas Sotiriu una vulnerabilidad en McAfee LinuxShield que podría llevar a la ejecución de código arbitrario remoto en instalaciones de la versión 1.5.1 y anteriores sin el parche HF550192.

El ataque se vale de la interfaz web de LinuxShield además del demonio local «nailsd» que permanece a la escucha en el puerto 65443/tcp, pudiendo derivar bajo determinadas circunstancias tal y como explica Nikolas en el enlace anterior, (estando autenticado en el sistema afectado) a la ejecución de tares con privilegios de root (super ususario).

Si bien este fallo no es tan grave al ser necesaria una cuenta válida en el cliente de LinuxShield, se recomienda parchear el producto a la mayor brevedad posible para evitar problemas mayores en los sistemas afectados.

Desde McAfee ofrecen ya una solución a este bug vía el parche HF550192.

Nuestro compañero Dabo ya ha publicado el número 17 del podcast sobre GNU/Linux y Mac que lleva adelante junto al resto de los participantes habituales que le acompañan en cada programa.

En este número, dentro de la sección Kernel Panic (dedicada a GNU/Linux), se hablará de las novedades que aporta Ubuntu 10.4, así como su opinión sobre ciertos movimientos de Canonical que afectan a Ubuntu y su uso.

En el apartado Manzanas Traigo (sobre Apple y Mac OS X); historia con Android y el iPhone, agradecimientos, Pin Podcast, iPad, precios, planes de datos, opiniones, fechas, microsim, etc, iPhone, sigue la saga del prototipo perdido, Jailbreak, nuestras recomendaciones de la quincena, etc. Mac, iTunes Live, lala, carta a Jobs ¿?, las manzanas de lur, etc.

Se encuentra disponible para su descarga la última versión estable del Kernel (o núcleo) de GNU/Linux. Concretamente la número; 2.6.34.

FAQS o preguntas frecuentes sobre el Kernel Linux.

Descargar Kernel Linux.

Nuestro compañero Dabo ya ha publicado el número 16 del podcast sobre GNU/Linux y Mac que lleva adelante junto al resto de los participantes habituales que le acompañan en cada programa.

En este número, tanto en la sección Kernel Panic (dedicada a GNU/Linux) como en Manzanas Traigo (sobre Apple y Mac OS X), Dabo da algunas recomendaciones respecto a la seguridad de los datos almacenados en ordenadores portátiles que puede veniros bien para mantener vuestros equipos protegidos en el caso de un extravío o robo.

Contenidos de este número 16; (más info en el post de DaboBlog).

Intro (00:00 hasta el 3:28)

Presentación, sobre el podcast (Dabo).

Kernel Panic (Minuto 3:30 hasta el 84:14)

(Diego y Dabo) Systray en GNOME, nuevo lider en Debian, ¿pierde fuelle GNU/Linux? (No !!), Android, HTC, Asus iPhone + Tethering (y Debian), CryptKeeper, cifrado home, seguridad en tu portátil, Diego empieza con “GNU/Linux en un entorno hostil” (o sobrevivir a MS Outlook)

Manzanas Traigo (Minuto 84:15 hasta el 144;20)

(Oreixa, lur y Dabo) Oscar y lur cazados !!!, Macs con AMD, Apple y sus resultados económicos, OSX, MacBook pro de Oscar con problemas (solventados, fsck, utilidad de discos, Time Machine, etc), FileVault y protección del sistema, cómo usar TimeMachine con Filevault, seguridad en fijos y portátiles, Twitter no contesta a mi reporte de un bug.

iPad (fechas, retrasos y más novedades, Kit para cámaras USB), iPhone (Opera Mini, MBsimulator, Photocalc, Fotos con el iPhone con “The Best Camera”, Android en el iPhone, 4Gs  y la historia completa de la pérdida-robo-filtración xD, las manzanas de lur ¿para quién serán?.

Ya está disponible para su descarga la versión 10.4 final de Ubuntu. Os recordamos que desde el «Gestor de actualizaciones» de un modo muy sencillo, podréis realizar la actualización.

No obstante, comprobad bien los cambios en el sistema ya que, quizás haya paquetes no soportados por esta versión y echéis en falta alguna aplicación o funcionalidad.

Descarga de Ubuntu 10.4 LTS (Lucid Lynx)

Nuestro compañero Dabo está de estreno con un proyecto compartido sobre Debian GNU/Linux, se trata de Debian Hackers y lo mejor es que os dejemos con las palabras que ha dejado en DaboBlog sobre el comienzo de este blog;

Mucha suerte compañero!!!

Nace Debian Hackers;

Bueno, los asiduos al podcast ya lo sabéis porque fue la “sorpresa” con la que venía este episodio. La historia es simple, Diego (n1mh) y yo, con el permiso de Forat que ahora como sabéis está a tope con su nueva paternidad, aunque está ahí,  nos hemos embarcado en una nueva aventura en La Red.

Hemos querido crear un lugar donde compartir nuestro día a día con Debian GNU/Linux y rendir un humilde y sincero homenaje a todos los hackers, en el sentido más auténtico del término, que dedican tanto tiempo, ganas y esfuerzo para seguir alimentando y potenciando el que para nosotros es “El sistema operativo”.

Será obviamente un blog para minorías, pero allí podré ir dejando cuestiones que quizás aquí no tengan tanta cabida y de ese modo. libraros de mis entradas periódicas, a veces un tanto farragosas, lo sé,  sobre Debian -;). De todos modos haré alguna referencia aquí cuando se publique algo reseñable en Debian Hackers.

Más info en www.debianhackers.net | RSS | Twitter

Siempre es un momento amargo cuando una web cierra sus puertas después de tantos años de actividad y tan buen hacer. En el caso de Fentlinux, por la cercanía y todos los lazos que unos unen aún más.

En el mes de Agosto de este año cesarán su actividad y nos quedamos con los buenos momentos que hemos pasado juntos y todo el esfuerzo por llevar al gran público su pasión por el mundo de GNU/Linux. También con cantidades ingentes de información que ha publicado a lo largo de casi 6 años que sin duda han servido de ayuda a mucha gente.

Todo el equipo de redacción de Daboweb os deseamos lo mejor en todo lo que os propongáis tanto a nivel individual o colectivo y personalmente sólo puedo decir que me lo tomaré como ese «hasta luego» que precede a la noticia de la despedida.

Mucha suerte compañeros !!!

Michael Zalewski, reputado consultor y desarrollador en asuntos de seguridad, ha desarrollado para Google «Skipfish», un potente y rápido escáner de vulnerabilidades web que sin lugar a dudas dará que hablar. Por lo poco que he podido comprobar desde que lo he instalado, cumple fielmente con casi todo lo que se anuncia en cuanto a fluidez y certeza en los análisis.

Para compilarlo, una vez desempaquetado, sólo necesitarás usar «make» pero te recuerdo que necesitarás instalar la librería libidn primeramente.

Skipfish está escrito intégramente en «C», se distribuye gratuitamente bajo una Licencia Apache versión 2.0 y está disponible para sistemas GNU/Linux, FreeBSD 7.0+, MacOS X y Windows (Cygwin). Esta herramienta de seguridad cuenta entre otras, con las siguientes funciones hablando de detección de posibles fallos de seguridad;

* Alertas de riesgo alto:

o Server-side SQL injection (including blind vectors, numerical parameters).
o Explicit SQL-like syntax in GET or POST parameters.
o Server-side shell command injection (including blind vectors).
o Server-side XML / XPath injection (including blind vectors).
o Format string vulnerabilities.
o Integer overflow vulnerabilities.

* Alertas de riesgo medio:

o Stored and reflected XSS vectors in document body (minimal JS XSS support present).
o Stored and reflected XSS vectors via HTTP redirects.
o Stored and reflected XSS vectors via HTTP header splitting.
o Directory traversal (including constrained vectors).
o Assorted file POIs (server-side sources, configs, etc).
o Attacker-supplied script and CSS inclusion vectors (stored and reflected).
o External untrusted script and CSS inclusion vectors.
o Mixed content problems on script and CSS resources (optional).
o Incorrect or missing MIME types on renderables.
o Generic MIME types on renderables.
o Incorrect or missing charsets on renderables.
o Conflicting MIME / charset info on renderables.
o Bad caching directives on cookie setting responses.

* Alertas de bajo riesgo:

o Directory listing bypass vectors.
o Redirection to attacker-supplied URLs (stored and reflected).
o Attacker-supplied embedded content (stored and reflected).
o External untrusted embedded content.
o Mixed content on non-scriptable subresources (optional).
o HTTP credentials in URLs.
o Expired or not-yet-valid SSL certificates.
o HTML forms with no XSRF protection.
o Self-signed SSL certificates.
o SSL certificate host name mismatches.
o Bad caching directives on less sensitive content.

* Alertas internas:

o Failed resource fetch attempts.
o Exceeded crawl limits.
o Failed 404 behavior checks.
o IPS filtering detected.
o Unexpected response variations.
o Seemingly misclassified crawl nodes.

* Otros datos de interés:

o General SSL certificate information.
o Significantly changing HTTP cookies.
o Changing Server, Via, or X-… headers.
o New 404 signatures.
o Resources that cannot be accessed.
o Resources requiring HTTP authentication.
o Broken links.
o Server errors.
o All external links not classified otherwise (optional).
o All external e-mails (optional).
o All external URL redirectors (optional).
o Links to unknown protocols.
o Form fields that could not be autocompleted.
o All HTML forms detected.
o Password entry forms (for external brute-force).
o Numerical file names (for external brute-force).
o User-supplied links otherwise rendered on a page.
o Incorrect or missing MIME type on less significant content.
o Generic MIME type on less significant content.
o Incorrect or missing charset on less significant content.
o Conflicting MIME / charset information on less significant content.
o OGNL-like parameter passing conventions.

Página de Skipfish en Google Code | Más info | Fuente (ENG).

A pesar de que hay muchos trackers dedicados a reseñar los múltiples tipos de vulnerabilidades que van surgiendo en todo tipo de software, hoy os queríamos recomendar a los usuarios de Ubuntu, un lugar donde podéis estar al tanto de los paquetes afectados por alguna vulnerabilidad o que estén pendientes de ser revisados.

Como muchos sabréis, CVE, abreviatura de Common Vulnerabilities and Exposures (Vulnerabilidades y amenazas comunes) es un código único que se asigna a una vulnerabilidad con el identificador CVE-año-número, fue creado por la Corporación MITRE y es el sistema estándar para estas cuestiones.

En el Ubuntu CVE Tracker podréis estar informados del estado de la seguridad de Ubuntu con el habitual sistema de clasificación de colores, rojo sería alto o crítico, naranja nivel medio y amarillo un riesgo bajo. Si en la lista aparece un asterisco, significa que ese paquete en concreto es mantenido por Canonical (propietaria de Ubuntu) en lugar de terceros.

Fuente > Jeff Jones Security Blog. (ENG).

Desde websecurity, nos ofrecen una serie de interesantes consejos y medidas a poner en práctica para dotar a un sistema basado en GNU/Linux de un mayor nivel de seguridad. Partiendo de la creencia (al menos por estos dominios) de que la seguridad total es una utopía, cuanto más hagamos por llegar a ella, mejor que mejor.

Se da un repaso a herramientas creadas para fortalecer el núcleo (linux) con parches que pueden protegerte de ataques por desbordamiento del búfer, denegación de servicio y otros muy comunes. También se revisan servicios innecesarios o que puedan ser fuente de problemas y cómo desactivarlos, implementación de políticas de seguridad en el sistema, etc, etc.

El contenido se ofrece en 5 partes para una mejor comprensión.

Como blindar nuestro sistema Linux

• Blindaje de nuestro sistema (Parte I)
• Blindaje de nuestro sistema (Parte II)
• Blindaje de nuestro sistema (Parte III)
• Blindaje de nuestro sistema (Parte IV)
• Blindaje de nuestro sistema (Parte V)

Como podréis comprobar, los consejos y medidas a adoptar, además de mucha lógica, están escritos de un modo comprensible por todos. Recordad que en nuestro subforo de GNU/Linux, nos tenéis para echaros un cable -;)

Se acaba de anunciar el lanzamiento de la versión 1.4.0 de SystemRescueCd. Como sabréis, se trata de una distro de GNU/Linux basada en Gentoo que se ejecuta como un Live CD y que puede ayudaros a solventar más de un desastre en instalaciones de GNU/Linux con problemas.

Con SystemRescueCd podrás intentar recuperar datos borrados accidentalmente, redimensionar o solventar problemas de particionado , comprobar la integridad de un sistema de ficheros además de repararlo, etc, etc.

Como se puede leer en la lista de cambios que publicamos debajo, hay nuevas e interesantes opciones para el arranque en unidades de red, además de una actualización de los kernels estándar y alternativos.

Lista de cambios;

* 1.4.0) 2010-03-01:

o Updated the standard kernels to linux-2.6.32.9
o Updated the alternative kernels to Linux-2.6.27.45
o Updated mozilla-firefox to 3.6
o Added zfs-fuse-0.6.0 filesystem
o Updated fsarchiver to 0.6.8 (fixes archive corruption when saved to smbfs/cifs)
o Updated sys-apps/parted to 2.1 (support for devices with sectors > 512 bytes)
o New boot option «nbdboot=ip:port» to boot sysresccd from NBD (network block device)
o New boot option «nfsboot=ip:/path» to boot sysresccd from NFS (network filesystem)
o New boot option «isoloop=xxx» to boot sysresccd from an ISO on the disk with grub2

Os recomendamos tener a mano siempre una copia de esta potente distro ya que, cuando nos sobreviene un desastre, la experiencia nos dice que cuanto antes podamos atajar el problema, mejor que mejor.

Más información y descarga de SystemRescueCd 1.4.0.