Categoría: Seguridad

¿Cómo saber si nuestro servidor Linux ha sido hackeado?

A pesar de las leyendas urbanas de que Linux es super seguro, o es muchísimo más difícil de hackear que un Windows, lo cierto es que dado el tamaño de Internet la probabilidad de que nuestro servidor sea atacado es mucho mayor, que hace algunos años atras. Además es conveniente recordar que una computadoras es tan confiable cómo el usuario que la administra  lo es.

Imagine que una computadora con Linux es cómo un auto, por más que le digan que necesita poco mantenimiento, si Ud. piensa que eso significa, ir a la gasolinera para poner combustible, pues no tardará mucho tiempo para que este en problemas. Si no revisa la presión de aire de las llantas, el nivel de aceite, y otros detalles, su carro no tardará en arruinarce.

Una computadora es también un activo valioso para muchas personas, y el que instale Linux como OS, no le garantiza que no sea victima de ataques, que pueden ser o no exitosos, en función de las medidas de seguridad que Ud. tome, por ejemplo actualice periódicamente su Linux, y aplique los parches más recientes a los programas que use con mayor frecuencia, y además revise periódicamente si es que no se ha colado alguien en su server, para ello existen dos utilitarios sobre los caules le dire cómo  instalarlos y usarlos.  El primero se llama  chkrootkit y el otro rkhunter.

chkrootkit: este programa detecta si en nuestro sistema ha sido instalado un "rootkit", que es un conjunto de programas que habilitan la administración remota del equipo, sin que el encargado del mismo se de cuenta.

Si cuenta con Debian o Ubuntu, instalarlo es tan fácil cómo tipear estos comandos:

Debian: apt-get install chkrootkit

Ubuntu: sudo apt-get install chkrootkit

Si Ud. no usa Debian o Ubuntu, no le queda más que instalar desde las fuentes, para ello debe de ir a la página web de chkrootkit, descargarlo e instalarlo en su sistema.

Ejecutar el programa es tan simple cómo invocarlo desde el prompt con privilegios de root, y el resultado sera un reporte que nos indica si nuestro sistema ha sido hackeado.

rkhunter: su nombre signigica casador de rootkits (rk = rootkit, hunter = casador), al igual que chkrootkit busca si nuestro sistema ha sido exitosamente hackeado y alguien ha instalado un rootkit o algun trojano, rkhunter debe ser descargado e intalado a mano, aquí el procedimiento a seguir cómo usuario root:

# wget http://superb-east.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.3.0.tar.gz
# tar xvfz rkhunter-1.3.0.tar.gz
# cd rkhunter/
# ./installer.sh –layout /usr/local –install
# rkhunter –update

Con los pasos anteriores rkhunter queda instalado y podemos efectuar el test de nuestro equipo cada vez que queramos con el siguiente comando (siempre como usuario root):

# rkhunter -c

Recuerde periódicamente ejecutar el comando "rkhunter –update", para asegurarce de que esta usando las últimas firmas de rootkits, troyanos o gusanos, sería el equivalente a actualizar los antivirus para los windows.

Publicado el por volkan68 1

Antivirus on-line

En mi paseo diario por diversos sitios web, he encontrado dos Anti-Virus que funcionan on-line, aunque yo uso Linux y no me preocupo mucho por los virus, tal vez aquellos usuarios que leen este blog y tienen que por razones de trabajo, estudio o cualquier otra seguir usando Windows, pues estos dos servicios les seran útiles para saber si un determinado archivo tiene un virus o no.

Aunque su utilidad es muy limitada, no pueden escanear el disco duro completo, ni tampoco desplegar un sistema de alerta en caso de un ataque, pero por otro lado tienen la ventaja de que funcionaran detectando virus aúnque el PC este completamente infectado, ya que el Ant-Virus esta en Internet.

VirScan

El primer servicio esta en inglés se llama VirSCAN, y usa varios motores antivirus para revisar el archivo entre ellos el Symantec,Panda, Hacker, NOD32 y AVG entre otros.

VirusTotal

El segundo servicio esta en español y se llama VirusTotal, aunque ofrece tambien otros lenguajes cómo el inglés, frances, aleman, ruso, turco, rumano, etc; hemos puesto sólo el link de la versión en español. Una característica de este servicio es que el archivo puede enviarce en formato SSL, si es que contiene información sensible que quermos ocultar de algunos ojos curiosos en la red.

Publicado el por volkan68 0

Contraseñas por defecto.

Todos sabemos que routers, switches, paneles de control, bases de datos, etc., traen siempre una contraseña por defecto y muchas veces los usuarios no las cambian, pues si quieren saber cuál es la contraseña por defecto y probar si esta esta aún activa, pues simplemente vayan a este website:

http://www.cirt.net/cgi-bin/passwd.pl

Alli encontraran las contraseñas (passwords) por defecto, organizadas por marca y modelo. La divulgación de esta información la hago con propósitos educativos, cualquier mal uso de esta información es por cuenta de la persona que lo haga, este sitio web, ni su autor estan en contra del vandalismo informático.

Publicado el por volkan68 0

Microsoft le pide disculpas a Corel

Cómo comentábamos en éste blog, sobre el hecho de que el último service pack de Office 2003, bloqueaba algunos formatos de archivos por considerarlos inseguros, uno de dichos formatos era el de CorelDraw. Pues ahora la misma Microsoft ha salido ha pedir disculpas públicamente y reconocer que el formato de archivo CorelDraw no es inseguro en si mismo, sino la implementación que hizo Microsoft para leer dicho archivo.

Según ComputerWorld, David LeBlanc, Ingeniero Senior de la división de Office en Microsoft, ha adminito en su blog personal, que su compañía (Microsoft), cometió un error y catalogaron erroneamente los archivos de CorelDraw cómo un formato de archivo inseguro, cuando ésto no es cierto.

Ahora Microsoft ha tenido que actulizar la información sobre el Service Pack 3 para Microsoft Office 2003 en su web site y explicar a los usuarios como rehabilitar los archivos con extensiones que habían sido bloqueadas.

La pregunta que queda flotando en el aire tras todas estas marchas y contramarchas en Microsoft, es qué otras decisione erradas han tomado los ingenieros de software de Microsoft, que pueden afectar a grupos de usuario de menor tamaño, que nunca llegan a la luz pública, pero que pueden afectar a pequeños desarrolladores o usarios particulares. Una vez más podemos comprobar que la seguridad por oscuridad (esconder el código) no ayuda, ni protege al usuario sino que muchas veces juega en contra del mismo.

Publicado el por volkan68 0

Widget de Facebook instala spyware en PC de usuarios.

En el portal de Net-Security, se da cuenta de que un widget de Facebook llamado "Secret Crush", esta propagando un spyware a los usuarios de esta red social. Este widget contiene un código malicioso que invita a los usuarios a instalar en su computadora el syware llamado Zango, luego de esto se añade cómo un contacto más a lista del usuario y promueve este widget dentro de los contactos del usuario, con lo que el proceso de propagación se inicia. Es conveniente recordar que Zango sólo afecta a los usuarios de Windows.

Esta demás decir que la alta popularidad de Facebook ha despertado la codicia de spamers, fabricantes de virus/spyware, y toda clase de marketros online de pocos escrúpulos. Debemos recordar que un alto número de usuarios en Internet, significa un alto tráfico y eso es dinero, que dichos inescrupulosos intentan capitalizar a toda costa, es por ello que toda gran comunidad web los atrae cómo la miel a las moscas.

Publicado el por volkan68 0