Configurando .htaccess de forma segura en WordPress

El fichero .htaccess (fichero de acceso a hipertexto) es un archivo de configuración del nivel de directorio que permite la gestión descentralizada de la configuración del servidor web. Un archivo .htaccess es siempre agregado en el directorio raíz y con él se pueden modificar muchos parámetros de configuración de WordPress, como pueden ser:

  • La configuración del servidor (server’s global configuration)
  • El tipo de contenido (content type)
  • El conjunto de caracteres (character set)

Con todas estas propiedades el archivo .htaccess se convierte en clave que garantizar y mejorar la funcionalidad de las páginas web y blogs que tengan una instalación WordPress.

Read More

¿ Firewalls Virtuales ?

Actualmente, lo habitual en una organización es disponer de un firewall/cluster y mediante el uso de vlans, ir creando nuevos segmentos dependiendo del crecimiento de la red, lógicamente siempre que el sistema a nivel de procesamiento no se vea afectado. No obstante, puede darse el caso de empresas que den servicio a múltiples clientes con el mismo firewall, de forma que se quiera diferenciar cada cliente de forma unívoca. Para ello, cada vez más aparecen en el mercado soluciones de firewalls virtuales y como casi siempre, el uso de una funcionalidad lleva asociada la licencia correspondiente.

Para este post, vamos a crear un firewall virtual en un dispositivo Cisco ASA 5550, no obstante, fabricantes como Fortinet disponen de soluciones similares.

Read More

Todo lo que necesitás saber sobre certificados SSL

“Comprometida una autoridad certificadora, todos sus certificados revocados”. Suena mal, ¿verdad? Es probable que hayáis leído algo parecido a esto durante los últimos días a raíz de un descubrimiento de Google, o incluso con lo del desastre de Superfish y Lenovo. La cuestión es, ¿qué significa eso? ¿Qué es un certificado? ¿Qué es una autoridad certificadora (o CA)?

Desde luego, son cosas que no necesitas saber para vivir un día más. Pero igual que la mayoría sabréis qué es un troyano o qué hace un antivirus, saber qué es un certificado viene bien: al fin y al cabo, es una de las cosas que evita que alguien pueda ver qué páginas visitas y tus datos personales. Así que hoy nos vamos a dedicar a explicar qué son los certificados SSL.

Read More

Cómo deshabilitar una webcam y por qué debes considerarlo

Webcam_spy

El espionaje remoto a través de las webcam de usuario es un asunto conocido y repetido desde hace una década.

Las técnicas utilizadas y los objetivos de los ataques han sido diversas, comenzando -cómo no- por elespionaje gubernamental revelado por Edward Snowden y por el que supimos que NSA tenía en funcionamiento una serie de herramientas conocidas como Gumfish, un malware que permite monitorizar el vídeo de la webcam. 

Tampoco su homóloga británica GCHQ se ha cortado y hace un año se conoció la interceptación de millones de imágenes a través de las webcam de usuarios de Yahoo!. Una operación denominada “Optic Nerve” consistente en capturar al azar cada cinco minutos a un usuario de la firma de Internet que utilizara su chat de vídeo.

Las vulnerabilidades informáticas han ayudado, como una inquietante vulnerabilidad en el Flash Player del Google Chrome que permitía a un atacante tomar el control remoto de la webcam y micrófono de un ordenador personal atacado. Los equipos Apple tampoco se han librado como mostró una investigación de la Universidad Johns Hopkins. Crearon una prueba de concepto con una herramienta de administración remota (RAT) capaz de reprogramar el chip de la cámara iSight incluida en portátiles MacBook o equipos todo en en uno iMac de Apple. Y lo hicieron sin activar la luz de notificación que indica que el sensor de la cámara está en funcionamiento, dejando a los usuarios completamente desarmados.

Podemos citar un montón de casos como el de un estudiante que demandó a su escuela cuando descubrió que su portátil estaba proporcionando imágenes a través de la webcam. La investigación judicial posterior reveló que la escuela había recogido 56.000 fotografías de los estudiantes sin su conocimiento o consentimiento.

También se ha utilizado para extender malware en los equipos, como forma de extorsionar a famosos, para “pilladas” a usuarias/os en paños menores o simplemente como placer para esos “mirones” que pululan por Internet invadiendo la privacidad del prójimo.

¿Paranoia o Realidad? Sea como fuere, si no utilizas frecuentemente la webcam no hay razón para dejar un dispositivo de grabación potencialmente inseguro que accede a tu hogar y a tu familia, permanentemente accesible y / o activo en tu equipo. Si piensas lo mismo, repasamos métodos efectivos para deshabilitar tu webcam, reversibles en el momento que quieras utilizarla.

Desenchufa la webcam

Tan simple como eso. El 99 por ciento de los usuarios de PCs de escritorio utiliza una webcam externa colocada generalmente encima del monitor. Desenchufar el conector USB es un método infalible que funciona independientemente del hardware o sistema operativo. Como es un plug-and-play tardarás un segundo en volverlo a conectar cuando quieras utilizar la webcam.

Desactívala en la BIOS

Una opción para portátiles o AIOs con webcams integradas que cuenten con esta opción en la BIOS. Reinicias, entras en la BIOS y desactivas una entrada que verás como “cámara web”, “cámara integrada” o “CMOS de la cámara.” La opción no es usual y se incluye sobretodo en portátiles vendidos en volumen de Lenovo o Dell. Ten en cuenta que la mayoría de webcam integradas usan el mismo módulo en placa que el micrófono por lo que podrías dejar desactivado este. Si quieres privacidad completa de vídeo y audio esta es una buena opción aunque se tarda más tiempo en volverla a activar.

Desactivación en el sistema operativo

Puedes desactivar la webcam a nivel de sistema rápidamente en un par de pasos. En Windows, ve al Panel de Control, abre el Administrador de dispositivos-Dispositivos de imagen y simplemente pulsa en deshabilitar o directamente en eliminar. Es una solución cómoda pero no definitiva porque si un atacante obtiene acceso administrativo al equipo puede instalar controladores y volver a instalarla.

Tapa la lente

Si ves una pegatina en el marco superior de un portátil ya sabes lo que significa. Es un método simple pero muy efectivo. Si un trozo de pegatina destroza la estética de tu flamante portátil, busca soluciones dedicadas más atractivas como este C-5 que puede deslizarse a voluntad. Hay muchísima oferta en Internet muy barata.

No tapes la luz indicadora de actividad aunque como hemos visto arriba se han descubierto técnicas capaces de activar la webcam sin encender la luz. Recuerda que tapar la lente impide el vídeo pero no el audio si está integrado, por lo que si quieres privacidad completa tendrás que combinarlo con la técnica del sistema.

Fuente: HowToGeek

 

¡ Gracias por leer !

DynamicSec.

Recordatorio: Usa solo las redes Wireless oficiales

Leyendo mis RSS, encontre un gran artículo en Security Art Work sobre la (in)seguridad que tenemos todos los días con respecto a las redes Wireless. Por eso, presten mucha atención.

Aprovechando uno de los múltiples eventos de seguridad que se organizan en nuestro país, se me ocurrió hacer un pequeño experimento parecido al que mi compañero Roberto llevó a cabo hace ya un par de años, pero en este caso en un entorno algo más especializado (aunque podía encontrar uno público de todo tipo).

Antes de nada, es necesario decir que los datos recogidos fueron analizados únicamente a título estadístico y no se extrajo ningún tipo de información privada o sensible, y señalar que la organización se encargó de informar por diversos medios a los asistentes de que utilizasen únicamente la WiFi oficial del evento… pero ni por esas.

Read More

Desafío: Jugando a ser un hacker – Nivel 2 Resuelto

Sinceramente, me encanto éste desafío. Cuando terminé el nivel 1 y escribí el post (Desafío: Jugando a ser un hacker – Nivel 1 Resuelto), le eché un pequeño vistazo a éste nuevo nivel. Al principio pensé que se trataba de introducir una simple contraseña no robusta, pero después me empezó a fastidiar no poder pasarlo. Por ello, acá nuevamente un pequeño paso a paso sobre como pasar éste nuevo nivel.

Una vez dentro de nuestro panel de bienvenida a Mod-X (ya tenemos creado nuestro usuario-contraseña, cuando lo resolvimos en el primer nivel), ingresaremos a Levels y luego a Level 1. Ya mismo, se nos presentará el nuevo desafío:

Imagen 1: Presentación al nuevo nivel.

Imagen I: Presentación al nuevo nivel.

Read More

Cómo protegerte de aplicaciones maliciosas que ponen en peligro tu seguridad en Internet

Y porque nunca, nunca, nunca, deberías bajar nada desde Download.com

Uno creería que muchos años utilizando Windows y descargando aplicaciones en cuanto sitio se te ocurra, te preparan para identificar un programa de dudosa procedencia cuando se aparece la lista de software instalado en tu ordenador. También podía pensar que después de una década navegando por Internet, serías capaz de identificar cual es el verdadero botón de descarga el 100% de las veces. Uno estaría equivocado. El malware es listo; los usuarios, humanos.

Read More