Una buena forma de asegurar nuestros datos o archivos con contraseñas en almacenarlas cifradas, y para esto mismo no hay método más cómodo y seguro que usar TrueCrypt.

¿Qué nos permite hacer?

• Crear un archivo cifrado que contenga todos los datos que queramos dentro.
• Cifrar completamente una partición, un disco duro entero o dispositivo externo USB (incluso el sistema operativo completo).
• Posibilidad de crear volúmenes ocultos, esto es, que se crean dos partes cifradas, una con una contraseña de pega y otra con la buena. De esta forma, si te forzaran a desvelar la contraseña maestra no podrían saber si lo que están viendo es la parte real o no.
• Posibilidad de usar keyfiles, lo que significa que además de saber la contraseña, tendremos que disponer de un archivo en concreto para abrir el volumen.
• Altos niveles de seguridad usando algoritmos de cifrado muy fuertes.

La ventaja de todo esto es que por ejemplo, puedes crear un USB externo cifrado, enchufarle, decirle a TrueCrypt la contraseña  y trabajar con él normalmente.

Si ya te he convencido, pásate por el tutorial que hicieron en Genbeta sobre cómo usarlo (bastante fácil para todo tipo de públicos).

Como curiosidad, pongo un posible caso de alta seguridad para datos:

• Usaríamos un dispositivo USB externo donde crear el volumen cifrado.
• Crearíamos un volumen oculto para que incluso si nos torturan, daríamos la clave de la parte falsa que contiene otros datos que no sabrían si son los verdaderos.
• Usaríamos la opción keyfile, generando un archivo aleatorio que nos pediría a la hora de abrir el volumen, este archivo lo almacenaríamos en otro UBS que guardaríamos en una ubicación diferente al que contiene los datos.
• Utilizaríamos los algoritmos más potentes que TrueCrypt nos ofrece, aunque perdamos velocidad de escritura.
• Usaríamos una contraseña maestra muy larga con mayúsculas y números.

De esta forma para poder acceder a nuestros datos deberíamos saber la contraseña maestra (la buena, no la falsa) y tener el archivo exacto con nosotros (keyfile). Como veis este sistema de seguridad es muy recomendable y altamente seguro, tanto para el uso en casa como en la empresa.

Más información sobre TrueCrypt en Wikipedia.

¿Quieres saber quién te tiene no admitido/eliminado en el MSN? Pues no des tu contraseña a desconocidos

Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.

Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.

Pero claro, ¡tú quieres saber quién te tiene como no admitido! Sorpresa: esos sitios, además de ser peligrosos, no funcionan. Microsoft cambió hace tiempo el protocolo para que los servidores de msn no difundieran esta información. Antes sí podías, pero ahora mismo ni siquiera puedes saber el estado de otra persona sin que ella te invite/admite o sin saber la contraseña de la cuenta (sin cambiar la configuración de la cuenta). Sin rebuscar demasiado, algunos sitios fraudulentos que siguen esta práctica serían: blockoo.com, scanmessenger.com, detectando.com, quienteadmite.info, checkmessenger.net, blockstatus, etc… Todos ellos son potenciales phishing, y ninguno funciona más allá de recolectar cuentas de correo.

Disculpad los lectores avanzados que ya habéis dejado atrás este tipo de engaños facilones hace mucho tiempo, pero es que hoy me he vuelto a conectar al messenger por obligación y me he dado cuenta de que las cosas han cambiado muy poquito.

Esta entrada es parte de la campaña de apoyo a Genbeta que ha sido atacada por no retirar una noticia con este contenido.

Artículo original: ¿Quieres saber quien no te tiene admitido/eliminado en el MSN?

El tutorial se compone de dos partes, la primera hace una sencilla introducción a la firma y cifrado para los no iniciados explicado gráficamente para que todo el mundo lo entienda, y una segunda parte donde se explica como instalar y configurar todo lo necesario para empezar a usalo en el cliente de correo Thunderbird.

Esperamos de esta forma acercar a la gente preocupada por su seguridad un tema tan importante como la seguridad en las comunicaciones por correo electrónico.

Firma y cifrado de correos en la documentación de Mozilla Hispano

Hoy veo publicando en Kriptopolis un artículo hablando sobre los Mozifans, afirmando cosas como:

Me gusta Firefox y lo utilizo exclusivamente y a diario. Quizás por eso -y aunque sea lo contrario que les ocurre a muchos de sus admiradores- a mí no me gusta ocultar sus defectos. Quién sabe si por airearlos ayudamos a que se corrijan.

Sin embargo, mi planteamiento (pese a haberlo explicado una y otra vez, por activa y por pasiva) no es bien recibido por los “mozifans”, recientes conversos a la fe del panda rojo y siempre dispuestos a anatematizar a cualquier crítico

Señor de Kriptopolis, me gustaría creerle si no fuera porque ha demostrado que no le interesa el rigor sobre temas polémicos tales como los bugs de Firefox. Han sido ya varios los comentarios que he intentado publicar (y se de gente que también lo ha intentado) en Kriptopolis para aclarar alguno de estos temas y se “han quedado perdidos” en la cola le moderación, siendo publicados otros posteriormente con menos relevancia.

Yo también uso Firefox a diario y me interesa que se corrijan los bugs, tales como el del protocolo jar… etc y no me importa que se publiquen. Lo que realmente me molesta es que no se publiquen las cosas con rigor, a medio informar y que la réplica seria no tenga cabida ya en Kriptopolis, un portal que lee mucha gente y lo considera serio.

Y no sólo eso, si no que ahora se escude en los trolls de Mozilla, que haberlos los hay como en todas las casas, pero no son excusa para todo lo que anteriormente he comentado.

Hasta que no vea que en Kriptopolis se muestra toda la información sobre lo que se habla y deja que algunos comentarios con información al respecto lleguen, seguiré dudando del rigor de esta página de seguridad, la cual he seguido desde hace años y me está defraudando mucho.

Si da la casualidad que el señor de Kriptopolis llega a leer este artículo tenga en cuenta que no tengo nada contra usted, si no contra la forma con la que trata todos estos artículos sobre Mozilla y el no poder expresarlo en su página (por lo motivos anteriormente relatados) y ver como da una imagen de Mozilla sesgada, no informada totalmente y sin turno de replica seria lejos del “trolleo de Mozifan”.

¿Qué nos permite hacer este script?

Base de datos

• Hacer un backup de la base de datos y guardarla comprimida en el servidor (admin_server.sh -b)
• Hacer un backup de la base de datos y sincronizar descargándola a la carpeta local de backups (admin_server.sh -c)
• Sincronizar los backups de la base de datos descargándola a la carpeta local de backups (admin_server.sh -s)

Archivos

• Descargar todos los cambios de los archivos del servidor de forma incremental (admin_server.sh -d)
• Enviar los cambios de la carpeta local al servidor (por seguridad no se enviarán los cambios a los archivos borrados) (admin_server.sh -e)

El script puede usarse de forma interactiva si ejecutamos solo admin_server.sh, con un menú numérico con las opciones o mediante los argumentos descritos anteriormente (ideal para usar en tareas programadas cron).

En el archivo encontrareis un archivo de texto llamado Instrucciones con toda esta información.

Descargar admin_server_scripts.tar.bz2

El script está bajo licencia GPL v3 o superior, por lo que puede ser modificado fácilmente para hacer backups de otro tipo de servidores.

Tip: Crea tus tareas programadas cron con gnome-schedule

Otros sitios leyeron la noticia y dieron una interpretación distinta, y como bien sabemos, la información se degrada poco a poco, por lo que no quiero ni saber que puede haber llegado a entender un usuario común.

Actualmente y tras la salida de Firefox 2.0.0.1 mucho han vuelto a retomar el tema al no verlo arreglado, este hecho me hizo sentir curiosidad sobre el alcance real del bug y porqué aun estaba sin resolver, por lo que me dirigí a Bugzilla para leerlo.

Bien, voy a intentar hacer un resumen de todo lo que allí se comenta hasta ahora (que es bastante), además de una recomendación al final para poder tener una contraseña en cada sitio y solo recordar una.

Pongamos que entramos a la página http://www.pagina1.com, en ella tenemos un nombre de usuario y contraseña y le decimos a Firefox que los recuerde y así siempre que entremos nos lo rellene sin tener que memorizarlos.

Pues bien, el bug solo puede darse en una situación muy específica:

• Entramos normalmente a http://www.pagina1.com
• La página ha sido modificada para que un formulario oculto nos pida nombre de usuario y contraseña y este los mande a http://www.pagina2.com
• Como anteriormente dijimos a Firefox que guardara estos datos y al ver que el formulario está en http://www.pagina1.com (donde lo habíamos guardado), Firefox rellena los datos y permite enviarlos.

De esta forma nuestros datos (solo los guardados para esa página, no es resto) serían trasmitidos a otra página automáticamente y sin nuestro consentimiento.

Pero, un momento, ¿otra web puede robarme mis contraseñas de http://www.pagina1.com?

No, ya que el formulario oculto debe estar situado en http://www.pagina1.com y Firefox solo rellenará los datos para ese dominio que es donde lo guardamos y solo con los datos de http://www.pagina1.com no de otra página.

¿Cómo modifican http://www.pagina1.com para que exista un formulario oculto?

Evidentemente no lo va ha hacer el autor, ya que es estúpido que intente robarte contraseñas que usas en su sitio de esta forma si lo puede hacer mirando la base de datos de usuarios guardando las contraseñas sin encriptar.

En este caso solo podría hacerse en sitios como foros y comentarios, donde un usuario externo pueda insertar código html para introducir el formulario oculto. Pero, ¡ojo!, la mayoría de webs seguras no permiten que un usuario normal introduzca html en comentarios ya que podría comprometer la seguridad de la web totalmente, no solo esto.

¿Y si hacemos que Firefox compruebe si el formulario se envía a una web externa?

Pues conseguiríamos que todas las webs que tiene un servidor diferente para el inicio de sesión y otro para almacenar los datos no funcionaran con el gestor de contraseñas.

Ej: http://pages.google.com/ para iniciar sesión y http://usuario.googlepages.com/ para mostrar las páginas

¿Qué ocurre si http://www.pagina1.com es una web que sirve webs a usuarios del tipo http://www.pagina1.com/usuario/ ?

Bien, en este caso podría explotarse el bug desde una página de usuario y conseguir la contraseña del dominio padre http://www.pagina1.com, lo que nos lleva a la siguiente pregunta:

¿Y si Firefox comprobara la URL exacta desde donde se guardó para evitar el problema anterior?

Pues de nuevo encontraríamos problemas en las páginas como muchos wikis que tras intentar editar uan web que requiere registro te redirigen para que lo hagas a (por ejemplo)

http://en.wikipedia.org/w/index.php?title=Special:Userlogin&returnto=Main_Page

Por lo que si guardaramos los datos para esta url completa, en el resto de página o en la portada no funcionarían y tendríamos que guardarlo para cada url completa y si cambiamos de contraseña imaginad que lío…

¡Dios mio! Entonces es peor el remedio que la enfermedad, ¿qué nos queda por hacer?

Bien, como este problema solo puede explotarse insertando un formulario en la propia web (o como hemos visto desde un subdominio), los administradores de dichas páginas deberían evitar que sus usuarios puedan insertar html simulando formularios en comentarios.

Las páginas que tienen alojadas webs de usuarios deberían filtrar el uso de inputs del tipo type=”password”

Conclusión:

Personalmente pienso que TODOS los programas gestores de contraseñas son inseguros por diseño, y como no se va a eliminar el gestor de contraseñas en Firefox (ya que es algo muy demandado) ni en ningún otro navegador, el problema recae en que desde las páginas web se evite que terceras personas les inserten formularios con envío de contraseñas.

¿Como evitar que el robo de una contraseña comprometa otras webs con la misma contraseña?

La respuesta simple es, usa una contraseña distinta para cada web, así si una se ve comprometida no el resto.

Esto es inviable cuando se está registrado en muchas páginas, por lo que se ha ideado un sistema para tener una contraseña diferente en cada web (además una contraseña sólida) y solo tener que recordar una.

¿Como es esto posible?

Pues con PwdHash, una extensión para Firefox que, a partir de una única contraseña, generará una clave diferente para cada web que visitamos. Usa una función que genera una salida dependiendo de la entrada, pero que mediante esos datos de salida no se puede conseguir la entrada.

De esta forma, usando nuestra contraseña “maestra� y el nombre de dominio de la página a la que accedemos, creará un hash que será el que se envíe como contraseña. Para hacerlo, podemos escribir nuestra contraseña con @@ delante o pulsar F2 antes de escribirla, así de fácil.

Si nos encontramos en un pc sin la extensión instalada (en un cyber) podemos generarla desde https://www.pwdhash.com/.

Espero que todo este rollo haya servido para aclarar algo, si encontráis algo erróneo no dudéis en comentármelo, puede que no me haya percatado de algún punto.

Actulización (21/12/06 18:47): En un blog del washintong post aseguran que un miembro del equipo de seguridad de Mozilla ha comunicado que se va a modificar el gestor de contraseñas para que recoja más información, no citan fuente así que no puedo asegurarlo, supongo que añadirán que se guarde aparte del dominio del formulario, la página a donde se envía, pero como he comentado en el análisis, la situación no cambiaría demasiado.