Atributos de ficheros en Linux y Unix: chattr y chflags

terminal

Conjuntamente con los permisos, los atributos de ficheros en Unix es una opción muy válida para restringir aún más, las operaciones a realizar con nuestros ficheros y directorios. En sistemas Linux, se usa el comando chattr para cambiar estos atributos. Una vez «dominado» es uno de los comandos mas útiles en linux para salvaguardar la integridad de muchos de sus ficheros importantes conjuntamente con los permisos. Es un comando poco conocido por muchos usuarios e incluso administradores de sistemas. Con chattr, y en sistemas de ficheros ext2 o posteriores, es posible asignarle atributos a los ficheros y directorios que residan en […]

Leer más Atributos de ficheros en Linux y Unix: chattr y chflags
junio 6, 2011
Publicado en Seguridad, Sistema OSX, Unix
Etiquetas: , , , , , 2 Comments

Los permisos de Unix: Quien puede y quien no

imagen de ejemplo de permisos

Siempre que he dado clases de Unix o Linux, una de las cosas que más problemas ha dado a los alumnos ha sido el concepto de permiso. Este pequeño artículo, recoge como podemos cambiar y asignar los permisos en Unix y Linux. En Unix, y vamos a hacerlo extensivo a sistemas similares como Linux, pueden ser de 3 clases, ejecución, lectura y escritura y para poder verlos, se puede utilizar el comando ls –l. Con esta tabla, podremos ver las propiedades de un fichero del sistema: -rwxr–r– 1 root users 1779380 Dec 26 10:05 fichero -rwxr–r– Estos son los permisos […]

Leer más Los permisos de Unix: Quien puede y quien no
junio 6, 2011
Publicado en Seguridad, Sistema OSX, Unix
Etiquetas: , , , , , , 2 Comments

Actualización urgente de WordPress

Imagen de Wordpress Hackeado

Los chicos de Codex, han liberado la versión 3.1.3 de WordPress, que corrige algunos fallos de seguridad graves. Esto hace que sea urgente la actualización a dicha versión. Una de las cosas que más me ha llamado la atención, es la inclusión de la corrección de seguridad ante el clickjacking. Este problema, que se hizo publico en muchas aplicaciones a partir del 2008, consiste en que, mediante un enlace falso, se puedan ejecutar comandos aprovechando que se mantienen las credenciales de acceso a un sitio web. Como ejemplo, imagina que mediante la url http://misitio.com/borrarBBDD, se eliminase la BBDD de tu […]

Leer más Actualización urgente de WordPress
mayo 27, 2011
Publicado en Seguridad, Wordpress
Etiquetas: , , , 4 Comments

MacDefender: ¿Virus? Para MAC…

Imagen de un virus

Un virus informático, lo mismo que su homónimo biológico, es un fragmento de código que se inserta en un programa o fichero e infecta a otros programas o ficheros del equipo infectado, con la intención de replicarse a otros equipos al ser compartidos. La principal característica de un virus, es que no son nada «per se», es decir, necesitan ser parte de un programa o un fichero para poder ejecutar su «payload» (borrar el disco duro, mostrar una pantalla de aviso, borrar ficheros, matar procesos, etc.) Hasta aquí la definición de lo que es un virus. Últimamente estoy escuchando y […]

Leer más MacDefender: ¿Virus? Para MAC…
mayo 26, 2011
Publicado en Seguridad, Sistema OSX, Unix
Etiquetas: , , , , , 3 Comments

Honeypots – El bote de la miel

Panal de Miel - Honeypot

«A un panal de rica miel dos mil moscas acudieron, que por golosas murieron, presas de patas en él. Otra dentro de un pastel enterró su golosina. Así, si bien se examina, los humanos corazones perecen en las prisiones del vicio que los domina.» Detrás de esta pequeña fábula de Samaniego, se esconde la razón de ser de uno de los recursos de seguridad más útiles y sencillos de implementar: El Honeypot. Un Honeypot, es un servicio, elemento de red, o incluso varios de estos, que está diseñados para llamar la atención de un atacante mediante la inclusión en los […]

Leer más Honeypots – El bote de la miel
mayo 25, 2011
Publicado en Seguridad
Etiquetas: , , , , , , One Comment

Limitando el acceso a bots en un servidor web

logo de googlebot

Desde que Internet es Internet, contamos con la ayuda de los buscadores para encontrar aquello que estamos buscando (al menos, en la web). A veces, no nos interesa que determinado contenido sea indexado por los buscadores y para ello solemos recurrir a un fichero llamado robots.txt, que la mayoría de los buscadores suelen hacer cierto caso. Pero este fichero, conjuntamente con directivas incluidas en el propio código (como nofollow o noindex), es ignorado o malinterpretado por muchos otros buscadores que no respetan este estándar. Para evitar esto, podemos contar con los ficheros .htaccess y una serie de «truquitos» que veremos a […]

Leer más Limitando el acceso a bots en un servidor web
mayo 16, 2011
Publicado en Seguridad
Etiquetas: , , , , , , , , 3 Comments

Incrementa la seguridad de tu web

Entre los miles de plugins para wordpress que puedes encontrar, uno de los que más me gustan es WP Seguro (Secure plugin) desarrollado por la empresa Acunetix. Este plugin gratuito, nos permite securizar alguno de los parámetros de nuestro blog, y además, instalará si así lo deseamos, un pequeño agente que monitorizará algunas de las actividades que se produzcan en nuestro sitio como cambios de ficheros, actualizaciones, permisos, etc. Este agente, es válido para otras aplicaciones de blogging y CMS. El plugin realiza, entre otras, las siguientes acciones configurables: Elimina el error estándar en caso de introducir una contraseña incorrecta […]

Leer más Incrementa la seguridad de tu web
mayo 13, 2011
Publicado en Recursos gratuitos, Seguridad, Wordpress
Etiquetas: , , , , , , One Comment

Nuevo intento de robar números de Visa. Visabanco.com y visasi.com

tarjetas visa mastercard

Quizás no haya puesto bien el título de este artículo, puesto que, para desgracia de algunos, lo que voy a describir no será un mero intento, sino un luctuoso éxito. Estamos acostumbrados a recibir en nuestro buzón de correo electrónico, envíos masivos que nos requieren que vayamos a una supuesta web de Visa, www.visabanco.com, y en algunos casos www.visasi.com, con la intención de que introduzcamos nuestra clave de acceso a la web del banco, mediante una supuesta alerta de seguridad o cualquier otra excusa. Esta tarde, aunque conocía de la existencia de este método, he podido comprobar que «los malos» […]

Leer más Nuevo intento de robar números de Visa. Visabanco.com y visasi.com
mayo 13, 2011
Publicado en Seguridad
Etiquetas: , , , , , , , , , , 7 Comments

Aprender sobre vulnerabilidades de seguridad

Cubo con Web de Felipe

Muchas veces, a la hora de evaluar un producto para hacer auditorías de seguridad o un exploit, por mucho laboratorio que tengamos, siempre se queda corto para recoger toda la casuística de sistemas. Para ello, varias empresas, grupos de seguridad, asociaciones, etc. ponen a disposición de «Internet» un nutrido grupo de aplicaciones para que podamos probar y aprender sobre vulnerabilidades y fallos de seguridad comunes en el mundo «real». A través de Linkedin, me ha llegado la web del señor @FelipeMartins, que ha hecho el trabajo de recoger en su web un nutrido listado de estas webs, clasificándola por «Distribuciones […]

Leer más Aprender sobre vulnerabilidades de seguridad
mayo 12, 2011
Publicado en Seguridad
Etiquetas: , , , , , , , 2 Comments

Evitar tu propio Wikileaks – Firewall II (Final)

Logo de FWBuilder

Firewall Builder es un completo entorno gráfico para construir las reglas de un firewall. Con él, la creación y el mantenimiento de las reglas de uno o varios cortafuegos es más fácil y está mejor organizada. Evita el tedioso proceso de aprendizaje necesario para cada nuevo cortafuegos que un administrador preparado debe saber manejar. Usando esta interfaz de usuario, las reglas de un firewall son construidas arrastrando y soltando objetos, que representan a hosts, redes, servicios y firewalls. Hay una librería de objetos predefinida con los más utilizados, y el usuario puede crear los que necesite. Una vez el conjunto […]

Leer más Evitar tu propio Wikileaks – Firewall II (Final)
mayo 10, 2011
Publicado en Seguridad
Etiquetas: , , , , , , , , , , 2 Comments