Maleta reventada por la TSA

He dedicado las últimas horas en Manhattan -y los últimos dólares- a comprar unos cuantos libros en Borders y viendo como me han devuelto la maleta la pena es que no me haya llevado este porque igual me hubiera ganado un viaje al Caribe.

Ojeando libros en Borders

Bromas a parte si viajais a USA comprobar que el cierre de vuestra maleta cumple con la nueva normativa de la TSA en cuanto a llave maestra porque si no os la reventarán si la consideran potencialmente peligrosa. En mi caso han reventado solo dos de las tres cerraduras por lo que dudo que hayan inspeccionado nada, ademas el contenido estaba tal cual, sin moverse un milímetro. Algún colega del Sr. Sansonite debió de considerar que era hora de que cambiara de maleta y ha decidido darme un empujón.

No solemos dar demasiada importancia a los servidores de DNS pero son una parte fundamental de nuestra seguridad. Hace tiempo que abandoné los DNS de mi proveedor por los de OpenDNS, aunque volví atrás porque esto no me hizo mucha gracia. Ahora Google nos da la posibilidad de usar sus DNS públicos, unos DNS que nos ofrecen seguridad y rapidez en la resolución de los nombres de dominio y además son muy fáciles de recordar: 8.8.8.8 y 8.8.4.4

Los servidores DNS se encargan de traducir las direcciones web que introducimos en el navegador en direcciones IP. Por lo que si estabamos navegando bajo unos DNS lentos notaremos un gran cambio en la velocidad. Para saber mas sobre porqué no usar los DNS de tu proveedor te recomiendo leer este artículo. Cuando se detectó ese agujero algunos proveedores tardaron meses en solucionarlo, dejandonos a los usuarios expuestos a ataques. En este otro puedes leer más sobre los servidores DNS públicos de Google.

Por mi parte voy a mostraros como cambiar -en MacOs X- los servidores DNS de tu proveedor por los de Google:

Lo primero entramos en Preferencias del Sistema: (más…)

Tractis, la empresa encargada de la difusión de los lectores para el DNIe ha creado un plugin para wordpress mediante el cual tus usuarios tendrán que autentificarse con el DNI electrónico antes de dejar un comentario.

No es algo muy útil para un blog generalista o para aquellos con una gran parte de usuarios fuera de España pero el avance es fundamental para la relación de la administración pública con los ciudadanos. Con este plugin en 10 minutos se puede evitar que se dejen comentarios anónimos y además de forma completamente gratuita.

Muchos cargos públicos han aborrecido los blogs porque sus experimentos se acabaron convirtiendo en un lugar en el que trasladar insultos de forma anónima mas o menos impune. Con este plugin quien necesite que para dejar un comentario haya que autentificarse ya no tiene disculpas, pero además abre la puerta a muchas más utilidades. Se me ocurre que una asociación puede fácilmente establecer un sistema de voto electrónico para sus asociados respaldado por el DNIe con una instalación de WordPress en poco mas de 10 minutos.

Además del plugin para WordPress han creado plugins para Drupal, librerías para Java y php o para Frameworks como Ruby on Rails o CakePHP. Por supuesto dan acceso a su API para que puedas programarlo en cualquier plataforma.

En Ayuda WordPress explican el proceso para instalar y activar el plugin en WordPress.

Las versiones 2.8.x de WordPress no dejan de darnos disgustos con la seguridad. Acabo de ver en Mangas Verdes que el último agujero detectado permite que cualquiera cambie la contraseña del administrador incluso sin un e-mail válido autorizado.

Está disponible ya una actualización, la 2.8.4 que corrige esta vulnerabilidad pero la verdad es que desde que llegó la 2.8 no ganamos para sustos.

No te olvides de actualizar tu WordPress a la 2.8.4

En el momento de escribir este post el asunto está en vías de solucionarse, pero a Christian Van Der Henst le han robado toda su indentidad digital. Alguien se ha hecho con el control de su cuenta en Godaddy y por tanto con todos sus dominios, incluidos maestrosdelweb.com y forosdelweb.com

Además también se han apoderado de su cuenta de Facebook y de su correo en Gmail. Después de un twitterbombing denunciando el caso, Godaddy le ha devuelto el acceso al panel de control de sus dominios.

Aún no se sabe como ha sido el ataque, pero parece que una vez que se hicieron con el control de los dominios han pedido a Gmail y otros servicios que les resetearan la clave, que sería enviada al correo del dominio. Todos podemos imaginar lo que supondría que nos roben dominios o nuestra cuenta de correo.  En infoSpyware dan algunos consejos para intentar evitar que nos ocurra algo similar. Suscribo todos esos consejos y sobre todo:

Usar contraseñas seguras y también conexiones seguras. Si nos conectamos a la primera wifi que encontremos abierta, redes wifi gratuitas de hoteles, cafeterias… sería conveniente no acceder a nuestra cuenta bancaria o incluso a la cuenta de correo. Y las contraseñas no pueden ser eternas. Hay que cambiarlas habitualmente.

¿Alguna vez has pensando que pasaría con determinada información que guardas en tu portatil si un día lo pierdes o te lo roban? ¿Eres de los que guardas claves de todo tipo en un archivo de Word en tu ordenador?

Si quieres mantener tu privacidad y tu seguridad a salvo hay datos que deberías de mantener exclusivamente encriptados. Si tienes tus datos encriptados mediante un buen protocolo de encriptación con una clave robusta podrás tenerlos perfectamente en tu ordenador sin preocuparte de que pasa si tienes que dejarlo en el servicio técnico para reparar.

En este tutorial vamos a ver como encriptar archivos en MacOs X mediante el protocolo AES. Un protocolo de encriptación que el gobierno de los Estados Unidos (NSA) anunció en junio del 2003 que es suficientemente seguro para encriptar información clasificada hasta nivel de Alto Secreto, el nivel más alto de seguridad que definen como información que pudiera causar “daños excepcionalmente graves” a la seguridad nacional en caso de ser divulgada al público.

De lo que hablamos aquí es de encriptar la información, no de poner simplemente una clave a unos archivos. Si quieres saber mas sobre criptografía puedes empezar por aquí o aquí para conocer más sobre el protocolo AES.

Otro de los plugins fundamentales en wordpress es este llamado WP Security Scan, que como su indica su nombre realiza un scanner de seguridad a nuestra copia de WordPress para identificar posibles vulnerabilidades en nuestro blog y como corregirlas. También comprueba que los archivos y carpetas de nuestra instalación tengan los permisos correctos.

Entre las utilidades está un generador de passwords con el que podremos generar claves aleatorias o comprobar la fortaleza de nuestras claves.

Algo que me ha llamado la atención es que hay dos cuestiones que el scanner las considera como posibles vulnerabilidades y permite cambiarlas. Son las siguientes:

• Si el usuario de nuestro blog se llama admin recomienda que lo cambiemos inmediatamente ya que por defecto cuando se instala una copia de wordpress el usuario se llamará admin, por lo que cuando alguien intenta realizar un ataque por fuerza bruta, esto es con miles de combinaciones formadas por palabras de diccionarios más numeros, etc, solo tendrán que hacer convinaciones del password ya que suponen que el usuario se llama admin. Si cambiamos el nombre de usuario por otro será mas dificil que puedan triunfar los ataques por fuerza bruta contra el blog.
• Si los prefijos de la tabla de la base de datos comienzan por wp- también recomienda cambiarlo por otro distinto. Mas o menos por lo mismo que en el anterior ya que por defecto wordpress pone a los campos de la base de datos el prefijo wp- por lo que en lo que se conoce como ataques por Inyección SQL se lo pondríamos un poco mas dificil si cambiamos el prefijo por otro distinto.

Otra cosa no menos importante que hace WP Security Scan es que elimina cualquier referencia a la versión que estamos utilizando de WordPress. Esto es importante porque si se detecta un agujero de seguridad en una versión determinada un posible hacker no tiene mas que mirar el código fuente en su navegador -o automatizarlo con un script- y ver si eres potencialmente vulnerable.

Descarga el plugin: WP Security Scan

Es fundamental mantener copias de seguridad actualizadas de la base de datos de nuestro blog por lo que pueda pasar. Además si cambiamos de hosting es necesario tener una copia de la base de datos del blog para poder traspasarla al nuevo hosting.

Las últimas versiones de WordPress tienen una opción para exportar la base de datos del blog a un fichero xml que luego puede importarse en cualquier blog de wordpress recién instalado. El problema de hacerlo así es que wordpress solo permite importar ficheros xml de un máximo de 2 MB. Puedes exportar tus datos en este fichero mientras no pese mas de 2 Megas, pero lo mejor es hacer una copia de seguridad de la base de datos.

Para usuarios avanzados se puede hacer desde el phpMyAdmin del servidor o accediendo por ssh pero este plugin para wordpress llamado WP-Database Backup simplifica la tarea de una manera increible. Puedes realizar el backup cuando tu quieras o decirle que haga uno diario, semanal, o incluso cada hora y que te envíe la copia por e-mail.

El funcionamiento es muy sencillo. Como cualquier plugin de WordPress basta con subirlo a la carpeta de plugins y activarlo desde el panel de control. Las opciones para el backup son:

• Guardarlo en un directorio de tu servidor
• Descargarlo
• Enviartelo por e-mail

También podemos indicarle que realize un backup cada hora, cada dia o cada semana. En ese caso se enviará por e-mail. Con las opciones de envío automático ya no hay disculpa para que tengas siempre un backup actualizado de tu base de datos.

Recuerda que las imágenes o archivos que subes con tus posts no se guardan en la base de datos, sino en una carpeta que está dentro de wp-content. Generalmente se llama uploads así que no está de más que de vez en cuando hagas una copia de esa carpeta, o incluso de toda la carpeta  wp-content, ya que con la carpeta wp-content y la base de datos puedes volver a poner en marcha tu blog tal y como estaba.

Descarga el plugin WP-Database Backup

En Estados Unidos han dado una vuelta de tuerca más a la presión que están ejerciendo sobre las libertades individuales y la justicia ha avalado una práctica que la policía de aduanas venía realizando en los aeropuertos. Ahora cuando entres en Estados Unidos, seas ciudadano de ese país o turista, podrán confiscarte tu ordenador portatil para analizarlo con detenimiento el tiempo que consideren necesario y podrán realizar una copia de tu disco duro.

Esto incluye no solo a ordenadores portátiles. También teléfonos móviles, reproductores mp3, memorias usb y cualquier dispositivo en el que se pueda almacenar información digital. Y por supuesto basta que el funcionario de turno decida que tu ordenador se queda allí. Ya no es necesaria una orden judicial para realizar una copia de tu disco duro. (más…)