¿Es seguro tu DNS?

Los lectores habituales seguramente sepan ya de la vulnerabilidad que aqueja a múltiples servidores de nombres (DNS) y que podría posibilitas a un atacante hacer que un nombre de dominio (el de tu banco, el de tu cliente de correo web…) vaya a un servidor web que no toca (el suyo, por ejemplo). Esto podría llevar a que le acabemos dando la contraseña que da acceso al correo electrónico o a administrar la cuenta corriente.

No parece que el ataque se haya utilizado demasiado, aunque ya se han publicado ejemplos de código (más info). Y los parches para los diferentes sistemas de DNS se publicaron ya hace tiempo, por lo que a los proveedores de acceso a internet les debería haber dado tiempo de sobra de aplicar el parche, que para eso tienen profesionales dedicados a ello.

De todas formas, siempre va bien comprobar que estamos protegidos. Una manera de hacerlo, correr el test disponible en http://www.doxpara.com/ (haciendo clic en el botón «Check my DNS»: si sale Your name server, at nn.mmm.nnn.mm, appears to be safe y las direcciones IP que salen más abajo parecen aleatorias, todo va bien). En el muy poco probable caso que tengamos un agujero, una posible solución (además de darle una colleja muy fuerte al proveedor de acceso que usemos) es usar, al menos temporalmente, los DNS de OpenDNS (usando como IPs en la configuración de servidor de red 208.67.222.222 y 208.67.220.220).

Vía.

Navega anónimo y seguro con OperaTor

Por si a alguien le interesa navegar de manera anónima y sin dejar rastro en cualquier ordenador que visite, una buena solución puede ser OperaTor, una combinación de Opera 9.5 (preparada para correr sin instalación previa, y por lo tanto apta para ejecutarse desde un ‘pendrive’) con Tor (una red que protege tu tráfico mareándolo por toda la web (con el efecto secundario de hacer que la navegación sea considerablemente más lenta)) y Privoxy, un proxy sin caché que mejora la privacidad, entre otras cosillas…

De números aleatorios y seguridad

Me sé de al menos uno al que le va a gustar la entrada…

La seguridad informática es difícil. Muy difícil, de hecho. Y tiene el pequeño problema de que la cadena es tan débil como el más débil de los eslabones. De nada sirve implementar la criptografía más dura del mundo si tu usuario le regala su clave a cualquiera a cambio de un café… ni si tu generador de números aleatorios (esto es, generador de números pseudoaleatorios, de hecho) no es suficientemente aleatorio. Y eso es lo que pasó hace tiempo en la biblioteca OpenSSL, usada por Apache, entre otros (no, no todos los agujeros de seguridad vienen firmados por Microsoft. Ya sé que resulta sorprendente). El resultado: que muchos ataques de «fuerza bruta» requieren ahora mucha menos potencia de cálculo de la que en principio haría falta (hasta extremos que rozan lo ridículo, en algunos casos). La historia (verdaderamente como para no dormir, va a costar mucho tapar el agujero), en Technology Review.

PS 20080521 Para los interesados en ver la diferencia entre un buen generador de números aleatorios y no normalito, pasen y vean.

PS’ 2005021 Un postmortem del asunto interesante tanto para los que quieran saber más sobre entropía como para los que quieran saber más sobre el origen del fallo y las metodologías de desarrollo que se siguen en un proyecto de software libre. (Imperdibles, además, las dos tiras cómicas enlazadas en la entrada.)

Nota: Ayer alguien me comentaba que el agujero ponía en duda el funcionamiento del software libre. En mi opinión, no, para nada: pone de manifiesto que la seguridad es difícil, cometer un error y romperla relativamente fácil, a pesar de que se toman medidas para evitarlo, y que a veces esos errores son extremadamente difíciles de localizar. También significa que, aún cuando esos errores pueden tener consecuencias funestas (y el reducido catálogo de claves con que se mueven ahora mismo mucha gente y muchas aplicaciones debería provocar, cuando menos, pánico), cuando se cometen y se detectan es mucho mejor invertir esfuerzos en poner remedio a la situación y poner medidas para que no se repita que en señalar con el dedo al culpable (que siempre es una cadena considerable de culpables) y la organización para la que trabaja. Trabaje esta con código abierto o no.

Me han hackeado el sitio. ¿Qué hago?

La pregunta no es real (bueno, de hecho a mí me paso en diciembre, pero la cosa no fue grave), sino que la plantean desde el Webmaster Central Blog de Google. ?ltimamente mantener un blog no actualizado (con WordPress o cualquier otra plataforma) es una invitación para que los ‘spammers’ se hagan con el control del sitio y te lo inunden de spamlinks en divs ocultos. Una de las consecuencias es, casi inevitablemente, que Google (y demás motores de búsqueda) lo note y te ponga en la lista negra (el último blog al que sé que le ha pasado es Bokardo, que se plantea una serie de interesantes preguntas sobre el tema). Incluso peor, te podrías dedicar a servir ‘malware’ a tus visitantes sin saberlo…

Pues bien, ¿qué recomienda Google para esos caso? Primero, prevenir y darse de alta en Google Webmaster Tools para ver cómo indexa el sitio el buscador (yo ya estaba dado de alta. ¿Sabe alguien si el resto de buscadores ofrece algo similar?). Desafortunadamente, a pesar de que Google sabe a través de las ‘webmaster tools’ que mi sitio es mío, y que dispone de una dirección de correo asociada conmigo para ponerse en contacto, no lo hace y solo nos advertirá al entrar en las ‘webmaster tools’ si detecta ‘malware’ (digo yo que no les costaría tanto mandar un aviso automatizado antes de poner un sitio en la lista negra, aún con la consabida advertencia de que no hay posibilidad de asistencia humana). También recomiendan una serie de lecturas, pero tendréis que seguir el enlace y buscarlas desde allí (da palo enlazar PDFs en inglés…).

Si uno se ha visto infectado, los pasos que recomiendan son (en traducción libre):

  • Poner off-line el sitio
    • Dejar el sitio off-line temporalmente, al menos hasta que estés seguro de que has arreglado el problema.
    • Si no puedes ponerlo off-line, devolver un 503 para impedir que lo visiten los ‘spiders’.
    • En Webmaster Tools, usar la herramienta de eliminación de URLs para eliminar las páginas o URLs hackeadas que puedan haberse añadido. Así no se servirán páginas hackeadas a los usuarios.
  • Evaluación de daños
    • Intentar detectar qué buscaba exactamente el hacker (NdT: no me gusta nada el uso de la palabra hacker con esta acepción, pero es el que usa Google…). ¿Buscaban información sensible o usar el sitio para otros fines?
    • Buscar cualquier fichero modificado o subido al servidor.
    • Comprobar los registros del servidor a la búsqueda de actividad sospechosa, como intentos fallidos de login, la historia de comandos (especialmente como superusuario), cuentas de usuario desconocidas, etc.
    • Determinar el alcance del problema?¿podría haber otros sitios tuyos afectados?
  • Recuperación
    • Lo mejor que puede hacerse es reinstalar completamente el sistema operativo de una fuente fiable. Es la única forma de estar completamente seguro de eliminar todo lo que pueda haber hecho el hacker.
    • Después de una reinstalación limpia, usar la última copia de seguridad para restaurar el sitio. No olvides asegurarte de que la copia de seguridad esté limpia de contenido hackeado.
    • Actualiza a su última versión todos los paquetes de software.
    • Cambiar las contraseñas.
  • Restaurar tu presencia online
    • Volver a poner online el sistema
    • Si eres usuario de Webmaster Tools, conectarte a la cuenta. Si el sistema fue marcado por contener ‘malware’, pide una revisión para comprobar si el sistema está limpio (NdT: «Request reconsideration», en la primera pantalla tras hacer login). Si usaste la herramienta de eliminación para URLs que quieres conservar en el sitio, solicita la reinclusión.
    • Permanece alerta, puesto que los «hackers» podrían volver.

En la entrada comentan que son «bastante buenos» a la hora de no penalizar sitios por haber contenido spamlinks en el pasado. En mi caso, al menos, eso parece cierto, pero, aún así me resulta poco tranquilizador no dar más alternativas…