Seguridad informática

Como configurar dispositivos con sistemas android para ser usado por niños/as.

Posted on diciembre 1, 2013 by Antonio Rodríguez Castro

Los sistemas operativos android pueden estar tanto en móviles como en tablets y otros dispositivos.

En primer lugar esto es una apreciación personal el uso de estos dispositivos por parte de los menores, debería de estar supeditado por mayores, pero como esto no siempre es posible, esta son unas pautas para que podamos estar un poco más tranquilos,

1- Evitar la instalación de aplicaciones que no vengan de Google Play (el el proveedor oficial para android) Para ello vamos a Ajustes, luego Aplicaciones y nos aseguramos que se encuentre la opción Orígenes desconocidos está desmarcada.

2-Abrimos la aplicación Play Store (o Android Market) y entramos en ajustes (botón de menú no el de atrás. Una vez dentro bajamos hasta llegar al menú Controles de Usuario donde encontramos la opción Filtro de Contenido. Al pulsar nos aparecen cuatro niveles para marcar las restricciones que creamos más oportunas por edades siendo estas cuatro que enumero a continuación.

Para todos: Como indica su nombre, son aplicaciones aptas para todo tipo de público.
Nivel de madurez bajo: las aplicaciones pertenecientes a esta categoría pueden contener muestras de violencia moderada u otro tipo de contenido que pueda resultar ofensivo.
Nivel de madurez medio: Estas aplicaciones pueden contener referencias sexuales, violencia real o violencia fantástica intensa, blasfemias o humor grosero, referencias al uso de drogas, de alcohol y de tabaco, funciones sociales y simulaciones de juegos de azar.
Nivel de madurez alto: Es el nivel más extremo, recomendado solo para adultos ya que se muestran contenido sexual y provocativo frecuente, violencia gráfica, simulaciones de juegos de azar y referencias contundentes al uso de drogas, de alcohol y de tabaco.

Una posibilidad que tenemos una vez escogida la opción deseada, es la de proteger esta configuración con un pin (un número que puede ser distinto del que tenga nuestro dispositivo) con ello si se intenta modificar los filtros de contenido nos pedirá el pin que habíamos elegido con anterioridad impidiendo que se pueda cambiar la configuración.

3- Para evitar que pueden arruinarnos instalando aplicaciones de pago desde Google Play y siguiendo el hilo anterior abrimos Google Play entramos en ajustes y marcamos la opción Usar pin para compras (recordar que puede ser distinto al del teléfono).

Los sistemas operativos android pueden, estar tanto en móviles como en tablets y otros dispositivos.

Información obtenida de consumosentido.com

Grave error de seguridad con los números pin de las tarjetas de crédito.

Posted on diciembre 1, 2013 by Antonio Rodríguez Castro

Esto se debe a que cuando escogemos los números pin de de cuatro dígitos para las tarjetas de crédito, móviles, etc, solemos escoger unos números bastante predecibles.

Esto se ha demostrado por un estudio de la consultoría Data Genetics que analizando bases de datos reales descubrió los números que solemos utilizar mas a menudo reflejando su frecuencia de uso en % son los siguientes.

Números pin mas usados — Números pin de 4 dígitos más usados

Para ello se utilizaron números del 0 al 9 dando lugar a 10.000 posibles combinaciones, siendo la más usada la 1234 con casi un 11%.

Analizando el listado, nos damos cuenta que dichas combinaciones representan el 27% de la mayoría de contraseñas que solemos escoger. Esto supone un grave problema de seguridad en caso de pérdida, p-e de la tarjeta de crédito, utilizando solo el anterior listado tenemos casi una posibilidad entre 3 de averiguar la combinación de dicha tarjeta.

Para las contraseñas numéricas de 5 dígitos la más usada es 12345 para la de seis 123456 y así sucesivamente.

Otros errores que cometemos a la hora de escoger la contraseñas es utilizar las fechas y por ultimo no menos habitual utilizar los dígitos del número Pi.

Por lo que si tu clave se encuentra entre las anteriores no pierdas tiempo y cámbiala.

Listado de los menos usados con él % de la frecuencia de uso.

Asegurar android para su uso por niños.

Posted on noviembre 28, 2013 by Antonio Rodríguez Castro

Las tablets y teléfonos móviles Android son herramientas perfectas para nosotros y para nuestros hijos. Existen multitud de aplicaciones de muy diversa índole que pueden ayudar a nuestros hijos a pasar ratos entretenidos y, con suerte, aparender algo.
Sin embargo, también encierran algún peligro dado que en ocasiones tienen enlaces a descargas a nuevas aplicaciones que pueden, en un momento dado, ser dañinas para nuestro dispositivo o, en otros casos, suponer un desembolso de dinero no esperado.
Para controlar las aplicaciones que se pueden instalar en nuestro android, lo primero es prohibir que se instalen aplicaciones desde orígenes distintos a Google Play, que es la tienda de aplicaciones android oficial. Para ello iremos a Ajustes / Aplicaciones y nos aseguraremos que la opción Orígenes desconocidos está desmarcada.
Una vez realizado esto, abrimos la aplicación de Play Store (o Android Market), que la tendréis instalada por defecto en vuestro dispositivo e ireis a ajustes. Una vez en ajustes, en el menú de Controles de Usuario encontramos la opción Filtro de Contenido. Al pulsar nos mostrarán cuatro niveles para marcar restricciones por edades:
 Para todos: Como indica su nombre, son aplicaciones aptas para todo tipo de público.
 Nivel de madurez bajo: las aplicaciones pertenecientes a esta categoría pueden contener muestras de violencia moderada u otro tipo de contenido que pueda resultar ofensivo.
 Nivel de madurez medio: Estas aplicaciones pueden contener referencias sexuales, violencia real o violencia fantástica intensa, blasfemias o humor grosero, referencias al uso de drogas, de alcohol y de tabaco, funciones sociales y simulaciones de juegos de azar.
 Nivel de madurez alto: Es el nivel más extremo, recomendado solo para adultos ya que se muestran contenido sexual y provocativo frecuente, violencia gráfica, simulaciones de juegos de azar y referencias contundentes al uso de drogas, de alcohol y de tabaco.
Dependiendo de la edad de nuestro hijo/a elegiremos una opción u otra pero lo lógico sería dejar marcados según la edad o únicamente para todos o también el Nivel de Madurez Bajo.
Una vez marcado esto, podemos proteger esta configuración para que nuestro hijo no la cambie y además podemos complementarla con un número pin. Esto consiste en definir un número pin (que puede ser distinto al del móvil) que nos permitirá dos ventajas más:
 Si accedemos a la aplicación de play store a volver a modificar los filtros de contenido, se nos exigirá previamente que introduzcamos dicho pin antes de permitirnos modificar la configuración, con lo que nos evitamos sorpresas desagradables.
 Si marcamos la opción Usar pin para compras, supondrá que cualquier descarga que se pretenda hacer desde la Google Play Store que suponga un pago para el usuario requerirá de la introducción del pin. Esto nos evitará compras involuntarias de aplicaciones por parte de nuestros hijos.
Esperamos que con estas configuraciones podáis estar un poco más tranquilos con el uso de vuestros dispositivos por parte de vuestros hijos aunque recordad siempre que lo ideal es que el manejo de ordenadores y tablets por parte de los niños sea siempre supervisado por un adulto, además de una buena educación en Nuevas Tecnologías.

Medidas para asegurar el servidor web Apache (Parte-2)

Posted on mayo 19, 2013 by Antonio Rodríguez Castro

Elementos específicos para prevenir los ataques en Apache.

Ataques de denegación de servicio.

Un ataque de denegación de servicio, básicamente consiste en saturar los recursos de algún tipo de servicio, En el caso del servidor Apache, o cualquier servidor web, se podría decir que un ataque se podría llevar a cabo mediante peticiones ilegítimas a través de aplicaciones diseñadas para tal fin o aprovechando algún fallo de seguridad, de modo que le falten recursos para procesar las legítimas.

Bandwidth Attacks

Este ataque, también conocido como hotlinking, consiste en incrustar enlaces en varios portales web a imágenes o archivos del sitio web atacado de manera que al visitar uno de estos portales automáticamente se realiza una costosa petición al sitio web atacado.

Mediante este ataque se puede utilizar contenido de otros sitios web sin permiso ni «pagar» por el ancho de banda y también se puede llegar a colapsar el servidor atacado.

Este ataque se puede evitar mediante una regla de mod_rewrite que prohíba todas las peticiones de acceso a archivos cuya cabecera HTTP_REFERER, que contiene el sitio web desde el que se ha realizado la petición, no sea el del propio sitio web:

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http://mipaginaweb\.es [nocase]

RewriteRule (\.gif|\.jpg|.\png|\.swf)$ $0 [forbidden]

leer mas

Medidas para asegurar el servidor web Apache (Parte-1)

Posted on mayo 19, 2013 by Antonio Rodríguez Castro

Medidas para asegurar el servidor web Apache.

Estructura de los principales archivos que forma Apache2

/etc/apache2/apache2.conf: el archivo raíz es el que incluye a los demás. No se debe modificar este archivo.

mods-enabled/*.load y mods-enabled/*.conf: la finalidad de estos archivos es la carga y configuración de los módulos de Apache.

httpd.conf: directivas aplicables a todos los servidores web.

ports.conf: define en qué puertos «escuchará» Apache.

conf.d/: directorio que contiene archivos de configuración para cada funcionalidad de apache (charset, php, security, etc.)

sites-enabled/: directorio que contiene los archivos de configuración de cada virtual hos

Asegurarse de tener los últimos parches de seguridad

Todas las modificaciones que se indican a continuación dependerán del uso del servidor y se han de realizar httpd.conf.

Esconder el número de versión de Apache y otra información importante

Muchas instalaciones de Apache por defecto le anuncian al resto del mundo la versión de Apache .Los atacantes pueden utilizar esta información para su propia ventaja al intentar atacar. También hace saber que has dejado la mayoría de los parámetros como venían por defecto.

Hay dos directivas que necesitarás agregar a tu archivo httpd.conf:

ServerSignature Off
ServerTokens Prod

“ServerSignature” (la firma del servidor) aparece al final de páginas generadas por Apache como errores 404, listado de directorios, etc.
“ServerTokens” es la que determina lo que Apache incluirá en la cabecera de respuesta HTTP del servidor. El configurarla como “Prod” implica que enviará:

Server: Apache

Se puede cambiar este texto modificando el código fuente, o utilizando el módulomod_security

leer

Creación de una entidad certificadora propia y un certificado autofirmado

Posted on mayo 19, 2013 by Antonio Rodríguez Castro

Creación de una entidad certificadora propia y un certificado autofirmado.

Para no extenderme demasiado solo enunciaré los comandos y una breve descripción de sus funciones representan.

Por razones de orden creamos un directorio de trabajo llamado CA y dentro de este dos más ,llamados certificados y privado. El primero es donde se guardará una copia de cada certificado que firmemos y en el otro directorio se guardará la llave privada.

#mkdir CA

# cd CA

# mkdir certificados privado

Nunca debemos de perder la llave privada que se generemos, ya que con esta podremos firmar o renovar certificados, y menos dársela a nadie, ya que toda nuestra seguridad radica en la confidencialidad de la llave privada que se guardará en el directorio privado.

Creamos dos archivos que formarán la base de datos de los certificados autofirmados.

# echo ’01’ > serial

# touch index.txt

Para no extenderme demasiado solo enunciaré los comandos y una breve descripción de sus funciones representan.

#mkdir CA

# cd CA

# mkdir certificados privado

Creamos dos archivos que formarán la base de datos de los certificados autofirmados mediante: leer mas

Guía de Uso de OpenSSH y sus herramientas

Posted on mayo 18, 2013 by Antonio Rodríguez Castro

Uso de OpenSSH y sus herramientas.

Herramienta ssh

Para establecer una conexión con un servidor SSH remoto, haremos uso de una Terminal.

La sintaxis para llevar a cabo esta operación es la siguiente:

[root@localhost]# ssh usuarioRemoto@ipDelServidorRemoto

En caso de haber establecido un puerto de escucha distinto al puerto 22, solo deberá especificar el puerto por el cual requiere autenticarse al servidor. Ejemplo

[root@localhost ]# ssh -Ppuerto usuarioRemoto@ipDelServidorRemoto

Nos pedirá el password del usuario

Una vez dentro del servidor remoto nos logearemos ahora si como “root”

curso@server1:~$ su-

Password:

En este momento ya estamos como root.

leer mas

Conexión remota segura mediante ssh con Openssh.

Posted on mayo 18, 2013 by Antonio Rodríguez Castro

Conexión remota segura mediante ssh con Openssh.

El servidor de shell seguro o SSH (Secure SHell) es un servicio muy similar al servicio telnet ya que permite que un usuario acceda de forma remota a un sistema Linux pero con la particularidad de que, al contrario que telnet, las comunicaciones entre el cliente y servidor viajan encriptadas desde el primer momento de forma que si un usuario malintencionado intercepta los paquetes de datos entre el cliente y el servidor, será muy dificil que pueda extraer la información ya que se utilizan sofisticados algoritmos de encriptación.

No utilizar nunca telnet y utilizar ssh en su lugar.

Para que un usuario se conecte a un sistema mediante ssh, deberá disponer de un cliente ssh. Desde la primera conexión, y mediante encriptación asimétrica, las comunicaciones se encriptan incluido el proceso de autentificación del usuario cuando proporciona su nombre y su contraseña. También se proporciona una clave de encriptación simétrica para encriptar las comunicaciones del resto de la sesión mediante encriptación simétrica por su menor necesidad de procesamiento.

OpenSSH

OpenSSH (Open Secure Shell) es un conjunto de aplicaciones que permiten realizar

comunicaciones cifradas a través de una red, usando como base al protocolo SSH.

Para instalar el servidor y el cliente ssh debemos instalar mediante apt-get el paquete ssh,

tanto en la aplicación del servidor como en la aplicación cliente:

// Instalación de servidor Openssh y cliente Openssh

root@servidor:# apt-get install ssh

leer mas