SEGURIDAD Y AUDITORIA DE SISTEMAS

A estas alturas no cabe duda que los teléfonos inteligentes o smart phones son verdaderos ordenadores y por lo tanto ya no podemos mirar a nuestro teléfono con un dispositivo para hacer simples llamadas, sino que debemos asegurarnos que nuestro sistema está actualizado y nuestros datos estén bien protegidos. Al igual que con un ordenador personal no hay protección al 100% o reglas de oro para protegernos, pero si buenas prácticas que debemos seguir para mantenernos en un nivel de seguridad/privacidad más o menos aceptable. El mayor problema con los terminales móviles y tabletas es que el sistema operativo, así como muchas de las aplicaciones y otros componentes que vienen instalados en el mismo están fuera de nuestro control y por lo tanto “no depende de nosotros” el actualizar el sistema. Duo:Security ha lanzado una aplicación llamada X-Ray que es capaz de encontrar ciertas vulnerabilidades en nuestro teléfono. Específicamente busca vulnerabilidades de escalado de provilegios ac

Por un momento creímos que todo en Windows 7 ya era conocido, desde sus versiones hasta la forma de optimizarlo. Sin embargo, ha aparecido en la red cierta información que "activa" una sección oculta del sistema operativo a la que se ha bautizado como "Modo Dios". El término, si bien suele ser asociado a comandos de consola internos disponibles en algunos videojuegos, calza a la perfección en Windows 7, debido a la enorme cantidad de opciones a las que se obtiene acceso. Microsoft no ha dicho nada al respecto, y sin embargo, el truco funciona sin mayores inconvenientes. No se necesita ninguna habilidad especial: Sólo hay que crear una carpeta y colocarle un nombre muy largo para que funcione. Hablar del "Modo Dios" me hace recordar a cada FPS con consola de comandos al que he jugado. Los juegos nunca han sido tan difíciles como para forzar al usuario a recurrir a esta trampa en una partida, pero resultaba especialmente útil cuando el jugador quería explo

Algo tan simple como revelar la fecha de cumpleaños puede ser altamente peligroso. El listado explica qué es lo que se debe hacer para cuidar la privacidad Del mal manejo de la cuenta de Facebook no se salva nadie, pero hay errores que son más comunes entre las personas mayores, quizá menos acostumbradas al nuevo entorno social que los llamados “nativos digitales”. Éstas son las siete equivocaciones que se siguen cometiendo, algunas de ellas, sin reconocer límite de edad. 1. Revelar la edad completa Para qué revelarla, pregunta el sitio All Facebook, donde se afirma que no tiene ningún sentido dejar que la fecha de cumpleaños exacta se vea públicamente. De hecho, puede ser peligroso si alguien quiere aprovechar para robar datos o plagiar una identidad. Si es por los saludos, con especificar día y mes, sin incluir el año, es suficiente. 2. Anunciar que no se estará en casa Contar públicamente que se estará de vacaciones por un determinado tiempo es como colgar un cartel en la

En la última entrega de esta serie se describen las opciones de configuración de log y las principales herramientas de monitorización de Apache. Todo sistema de información, sobre todo aquellos expuestos como los servidores web, necesitan ser monitorizados para detectar errores, ataques o cargas de trabajo excesivas. Se pueden supervisar varios aspectos de los servidores web. Una manera de clasificarlos es la siguiente: •Caídas y errores del servidor web. •Consumo de recursos. •Ataques informáticos. Monitorización del servicio En la anterior entrega se describió mod_status, un módulo utilizado para supervisar la carga de los procesos e hilos de Apache. Además del consumo de recursos, quizás el evento más importante que se debe detectar son las caídas del servicio, o demonio, de Apache. Una herramienta que se puede utilizar para detectar estos eventos y ejecutar de nuevo el servicio en caso de caídas es Monit. En la siguiente configuración de Monit se aprecia como se especi

En esta nota se describirá cómo configurar de manera segura el protocolo HTTPS, que proporciona cifrado de la comunicación y autenticación del servidor. Los conceptos sobre algoritmos de cifrado de clave pública y clave privada, certificados o sobre cómo generarlos se salen del alcance de este artículo. Si se desea más información, se pueden consultar las siguientes páginas web: •Cómo entender los certificados web •Certificados digitales con validación extendida •SSL/TLS Strong Encryption: FAQ. Contiene comandos concretos sobre cómo crear un certificado. Se recomienda que la clave privada asociada al certificado del sitio web tenga una longitud de 2048 bits. Ventajas de HTTPs sobre HTTP HTTPS se diferencia de HTTP en que utiliza el protocolo SSL/TLS lo que le proporciona las siguientes ventajas: •Comunicación cifrada que por tanto imposibilita que se capture la información (eavesdropping). •Autenticación del servidor, si su certificado ha sido emitido por una CA de confia