4 bits blog

Voy a recuperar otro de mis documentos perdidos en Google Docs (el anterior fue el de las autotools), esta vez se trata de un pequeño manual sobre cómo proteger las contraseñas de lo usuarios de cualquier aplicación que se programe, el manual es una traducción al español del artículo How to encrypt user passwords de Daniel Fernandez.

1. Visión general

Casi todas las aplicaciones web modernas necesitan, de un modo u otro, cifrar las contraseñas de sus usuarios. Se podría decir que, desde el momento en que la aplicación tiene usuarios, y los usuarios se identifican usando una contraseña, esas contraseñas se deben guardar usando algún tipo de cifrado.

Hay muchas razones básicas para esto: las bases de datos pueden estar comprometidas, y por tanto también las comunicaciones. Pero la razón más importante es que se tiene que pensar que las contraseñas de los usuarios son datos personales. Sus contraseñas son sus claves para su privacidad, por tanto son personales, y nadie tiene el derecho de conocerlas. Y se debe cumplir esto si se quiere ganar la confianza de los usuarios.

Leer el resto »

Ayer veía en las noticias de la televisión del metro que unos cuantos taxis habían incorporado un servicio nuevo, que consistía en tener un llamado ultraportátil con conexión a internet vía modem 3G, de modo que el cliente pudiese acceder a internet mientras viaja en el taxi.

Todo esto no deja de ser curioso, porque hace unos días salía la noticia de que la CMT prohibía dar acceso WiFi gratis al ayuntamiento de Madrid en los autobuses, ya que no era su servicio principal, así que para ofrecer dicho servicio debería cobrar una tasa extra.

No me entere bien de la noticia de los taxis, pero me pareció ver que dicha conexión a internet era un servicio gratuito, por lo que todo esto me parece un poco contradictorio.

Además, me pregunto qué nivel de seguridad proporcionarán en dichos ultraportátiles, es decir, el taxista me puede asegurar que dicho portátil no tiene virus, que los datos (cookies, archivos temporales, …) que maneje serán borrados antes de que otro cliente lo use, que el disco está cifrado por si alguien lo roba no poder acceder a los datos, … No sé, pero recomendaría no usar dichos ordenadores para tareas que contengan datos personales.

Hace poco se me ocurrió una forma de aprovechar una memoria USB (o pendrive) antigua (de 256MB) que tenía por ahí. Simplemente, utilizarla para guardar, todo cifrado, un archivo con un listado de contraseñas, documentos personales, claves GPG y/o SSH, …

Así que estuve buscando diferentes opciones, siendo importante que funcionase en Linux y en Windows (por si las moscas). Al final había dos opciones Truecrypt (el archiconocido) y dm-crypt (un gestor de dispositivos cifrados de Linux), me decanté por dm-crypt porque Truecrypt, curiosamente, no está en los repositorios de Debian y porque con dm-crypt no necesitaría de un programa a parte para utilizar mi dispositivo en Linux (aunque sí, en Windows).

Pasos a seguir

Directo al grano, estos son los pasos que realicé:

1. Paquetes necesarios:

   # apt-get install cryptsetup hashalot dmsetup

2. Rellenar la memoria con datos aleatorios (no es necesario, aunque sí recomendable):

   # dd if=/dev/urandom of=/dev/sdX

3. Cargar los siguientes módulos si no lo están ya:

   # modprobe aes
   # modprobe dm_crypt
   # modprobe dm_mod
   # modprobe sha256

4. Crear el contenedor cifrado (pedirá la contraseña para poder luego descifrarlo):

   # cryptsetup -v --key-size 256 luksFormat /dev/sdX NOMBRE-CONTENEDOR

5. Formatear el contenedor (yo utilicé FAT para que funcione en Windows) para ello primero hay que montar el contenedor utilizando cryptsetup:

   # cryptsetup -v luksOpen /dev/sdX NOMBRE-CONTENEDOR
   # mkfs.vfat /dev/mapper/NOMBRE-CONTENEDOR

6. Y ya está, ya se puede montar:

   # mount -t vfat /dev/mapper/NOMBRE-CONTENEDOR /mnt/usb_cifrado

Leer el resto »

Hoy he visto como a un blogger (aloisius, no pongo el enlace para no darle publicidad al tonto ese que te ha jodido el blog) al que suelo seguir le han conseguido robar su contraseña de Wodpress. Parece ser que todo era una broma, aunque lo que cuento de Wordpress no es broma.

Y es que Wordpress adolece de las siguientes debilidades:

1. Proporcionar demasiada información al fallar la identificación: Siempre se ha aconsejado que cuando una identificación falle, el mensaje de error sea ambiguo y nunca menciones que parte ha fallado (usuario o contraseña), en Wordpress en cambio te dice claramente que parte ha fallado, gracias a esto se podría conseguir una lista de los usuarios registrados en el blog.
2. Número máximo de intentos de identificación: Para que la gente no te pueda realizar un ataque de fuerza bruta se suele limitar el número de intentos, o incluso poner un retardo cada vez mayor entre intentos. Wordpress no hace ni lo uno ni lo otro.

Gracias a estos dos puntos, se puede conseguir realizar un ataque de fuerza bruta contra Wordpress, ya que se pueden conseguir los usuarios (amén de que siempre existe uno llamado admin) para acto seguido atacar a cada uno de ellos con un script (los hay en abundancia) que se dedique a probar contraseñas, mientras nosotros esperamos (el tiempo que estaremos esperando dependerá de la complejidad de la contraseña) a que acierte.

Actualización: Para solventar el problema de los intentos (a mí juicio el más grave) he encontrado el complemento Login LockDown.

Ayer estuve en el security blogger summit 2009 que organizó Panda Security, obviamente fui como espectador.

Hay que decir que el evento fue magnífico, estuvo muy bien organizado y encima vinieron unos ponentes de relumbrón, aunque la estrella era Bruce Schneier.

La mesa redonda estuvo muy entretenida, hablaron sobre cómo mejorar la situación actual de la seguridad, centrándose casi siempre en si se debería enfocar desde la educación a la gente o que fuese la tecnológica la que mejorase en este apartado.

Yo me quedaría con la explicación que realizó un miembro del grupo de delitos telemáticos de la guardia civil, sobre todos los pasos que tienen que dar hasta atrapar al tipo malo y como se hace casi imposible cuando las herramientas que usan (por ejemplo: una botnet) están en fuera de España.

Al final de todo había un cocktail dónde la gente se relacionaba, yo sólo conocía a mis compañeros de trabajo y a Victor Pimentel al que saludé, aunque por la cara que puso creo que tardó en reconocerme.

Por supuesto, repetiré en la próxima edición.

[+] Resumen del security blogger summit en security by default
[+] Resumen del security blogger summit en error500