Consejos Seguridad Informática Página 20

Algunos consejos de la OSI para navegar por internet

28 enero, 2019

Siguiendo con el espiritu de recopilar información e informar sobre ciberseguridad en esta entrada hago referencia a una presentación de la OSI (Oficina de Seguridad del Internauta) dependiente del INCIBE (Instituto de CIBErseguridad) junto con la Agencia Española de Protección de Datos donde editan una guía de privacidad y seguridad en internet. De igual forma nos dejan en esta página algunas opciones para securizar nuestras redes sociales.

Si lo deseas, puedes descargar las distintas fichas de las que se compone la guía de manera individual. Elije la temática que más te interese, descárgate la ficha y sé el primero en compartirla con tus contactos.

FICHA 1: Tus dispositivos almacenan mucha información privada ¿Te habías parado a pensarlo?
FICHA 2: ¿Por qué son tan importantes las contraseñas?
FICHA 3: ¿Son suficientes las contraseñas?
FICHA 4: No esperes a tener un problema para realizar copias de seguridad
FICHA 5: ¿Será fiable esta página?
FICHA 6: ¿Tengo obligación de dar mis datos cuando me los piden?
FICHA 7: ¿Cómo puedo eliminar datos personales que aparecen en los resultados de un buscador?
FICHA 8: ¿Cómo puedo usar el navegador para que no almacene todos los pasos que doy por Internet?
FICHA 9: ¿Quién puede ver lo que publico en una red social?

FICHA 10: Identificando timos y otros riesgos en servicios de mensajería instantánea
FICHA 11: Toda la información que se publica en Internet ¿es cierta?
FICHA 12: Phishing: el fraude que intenta robar nuestros datos personales y bancarios
FICHA 13: ¡Qué le pasa a mi conexión de Internet!
FICHA 14: Quiero proteger mi correo electrónico
FICHA 15: ¿Qué tengo que tener en cuenta si guardo mi información personal en la nube?
FICHA 16: ¿Puedo compartir ficheros por Internet de forma segura?
FICHA 17: No tengo claro para qué está utilizando mi hijo Internet, ¿qué puedo hacer?
FICHA 18: ¿Las pulseras y relojes que miden la actividad física son seguros?

Espero que os sea de utilidad.

Ofuscación parte del DNI en anuncios. Nueva Ley de Protección de Datos.

21 enero, 2019

El día 5 de diciembre de 2018 se aprobó la nueva ley de Protección de Datos Personales y garantía de los derechos digitales. Entre otros temas nos obligan a que el dni se vea de forma parcial en las noticaciones por medio de anuncios o publicaciones de actos adminitrativos. Cito la disposición adicional séptima:

“Disposición adicional séptima. Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos.

1. Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse.

Cuando se trate de la notificación por medio de anuncios, particularmente en los supuestos a los que se refiere el artículo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.

Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos párrafos anteriores, se identificará al afectado únicamente mediante su nombre y apellidos. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.

2. A fin de prevenir riesgos para víctimas de violencia de género, el Gobierno impulsará la elaboración de un protocolo de colaboración que defina procedimientos seguros de publicación y notificación de actos administrativos, con la participación de los órganos con competencia en la materia.”

En las listas del Foro Técnico de la Comunidad RedIRIS el compañeros Marc Vives de la universidad Pompeu Fabra nos aconseja un algoritmo para un procedimiento que nos podría valer para cumplir este cometido , aunque no tiene que ser el único siempre que se cumpla con esta disposición adicional. El algoritmo sugerido y mejorable, ya que no contempla pasaportes, es el siguiente:

”

String.prototype.replaceAt=function(index, replacement) {

    return this.substr(0, index) + replacement+ this.substr(index + replacement.length);
}

var dni = this.getField("DNI").value;
var cadena="TRWAGMYFPDXBNJZSQVHLCKET";
var posicion = dni % 23;
var letra = cadena.substring(posicion,posicion+1);
var dni_string = dni.toString();

var masks= Array("00110110","10001011","10011100","10110100","01111000",
                "11000101","01100011","10010011","10010101","11100100",
                "00111001","01011001","11000110","01101010","10111000",
                "11010100","10101100","10100101","10100110","11010001",
                "01010110","00011110","00101011","01100101","10001110",
                "00110101","10101001","00010111","01100110","10110010",
                "01110100","01011100","11100010","01101100","00111010",
                "01110001","11100001","01000111","11001001","11000011",
                "01101001","10011010","11011000","01010011","11001010",
                "10000111","11101000","10110001","10001101","10100011",
                "01001110","01011010","11010010","01110010","00011101",
                "00101110","01001011","01010101","11001100","00100111",
                "10011001","01001101","00101101","10010110","00111100",

                "00011011","00110011") ;
var mask = masks[dni % 67];

var dni_enmascarado = dni_string;
var i;

for (i=0; i<8; i++)
    if (mask[i] == "0") dni_enmascarado = dni_enmascarado.replaceAt(i,"*");

this.getField("NIF").value = dni_string.substring(0,2)+"."+dni_string.substring(2,5)
+"."+dni_string.substring(5,8)+"-"+letra;
this.getField("MASK").value = mask;
this.getField("NIF_enmascarado").value = dni_enmascarado.substring(0,2)+"."+dni_enmascarado.substring(2,5)
+"."+dni_enmascarado.substring(5,8)+"-*";

”

Como ejercer tu derecho al olvido

21 enero, 2019

Si no sabes como ejercer tu derecho al olvido la Oficina de Seguridad del Internauta (OSI) nos deja una serie de consejos y recomendaciones en este enlace .

Protege tus activos web con WAF de código abierto (Open Source WAF)

10 enero, 2019

Fuente: Geekflare.

Miles de sitios web son pirateados cada día debido a una configuración incorrecta o un código vulnerable. El servidor de seguridad de aplicaciones web (WAF) es una de las mejores maneras de proteger su sitio web de las amenazas en línea. Si su sitio web está disponible en Internet, entonces puede usar herramientas en línea para escanear un sitio web en busca de una vulnerabilidad para tener una idea de qué tan seguro es su sitio. No se preocupe si se trata de un sitio web de intranet, puede utilizar el código abierto del escáner web Nikto. El WAF comercial puede ser costoso y si está buscando la solución gratuita para proteger su sitio web con WAF, el siguiente Firewall de aplicaciones web de código abierto puede ser útil.

Lista de WAF Open Source

1. ModSecurity
2. IronBee
3. NAXSI
4. WebKnight
5. Shadow Daemon

1. ModSecurity

ModSecurity de TrustWave es uno de los cortafuegos de aplicaciones web más populares y es compatible con Apache HTTP, Microsoft IIS y Nginx.

Las reglas gratuitas de ModSecurity serán útiles si está buscando la siguiente protección.

Secuencias de comandos entre sitios
Troyano
Fuga de información
inyección SQL
Ataques web comunes
Actividad maliciosa

ModSecurity no tiene una interfaz gráfica y si está buscando una, puede considerar el uso de WAF-FLE. Te permite almacenar, buscar y ver el evento en una consola.

2. IronBee

IronBee es un marco de seguridad para construir su propio WAF. IronBee aún no está disponible en el paquete binario, por lo que debe compilar desde la fuente y probarlo en el siguiente sistema operativo.

CentOS
Fedora
Ubuntu
OS X

Es un marco de seguridad web altamente portátil y muy liviano.

3. NAXSI

NAXSI es Nginx Anti-XSS y SQL Injection. Entonces, como puede adivinar, esto es solo para el servidor web Nginx y principalmente para protegerlo de los ataques de inyección de SQL y los scripts entre sitios.

La solicitud GET y PUT del filtro NAXSI solo y la configuración predeterminada actuarán como un firewall DROP por defecto, por lo que debe agregar la regla ACEPTAR para que funcione correctamente.

4. WebKnight

WebKnight WAF es para Microsoft IIS. Es un filtro ISAPI que protege su servidor web al bloquear las solicitudes incorrectas. WebKnight es bueno para asegurarse de lo siguiente.

Desbordamiento de búfer
Directorio transversal
Codificación de caracteres
inyección SQL
Bloqueando robots malos
Hotlinking
Fuerza bruta
Y mucho más…

En una configuración predeterminada, todas las solicitudes bloqueadas se registran y puede personalizar según sus necesidades. WebKnight 3.0 tiene una interfaz web de administración donde puede personalizar las reglas y realizar tareas de administración, incluidas las estadísticas.
5. Shadow Daemon

Shadow Daemon detecta, registra y previene ataques web al filtrar solicitudes de parámetros maliciosos. Viene con una interfaz propia donde puede realizar la administración y administrar esta WAF. Es compatible con PHP, Perl y Python framework de lenguaje.

Puede detectar los siguientes ataques.

inyección SQL
Inyección XML
Inyección de código
Inyección de comando
XSS
Acceso de puerta trasera
Inclusión local / remota de archivos

El código abierto es gratuito, pero no obtiene soporte empresarial, lo que significa que necesita confiar en su experiencia y soporte comunitario. Por lo tanto, si está buscando el WAF comercial, puede consultar el siguiente.

CloudFlare (basado en la nube)
Incapsula (basada en la nube)
F5 ASM
Reglas comerciales de TrustWave ModSecurity
SUCURI (basado en la nube)
Herramientas Akeeba Admin (para Joomla)

Artículo completo en Geekflare

Mas información en Microsoft o CloudFlare si no deseamos código abierto.

CCN aconseja que los password sean más largos

21 diciembre, 2018

Ahora que se ha demostrado que el segundo factor de autenticación es lo más aconsejable a la vulnerabilidad de los sistemas protegidos sólo con clave, el CCN ha sacado una nueva versión de su anexo V de la guía 821 en lo relativo a normativa de seguridad donde nos explica como hacer claves/contraseñas más robustas. Cito a continuación el párrafo donde nos aconseja que las claves sean más largas para que el tiempo de descifrado, en casos de ataques de fuerza bruta, no tengan el efecto deseado por los ‘malos’:

“Utilizar la concatenación de varias palabras para construir contraseñas largas(passphrases) cuya deducción, automática o no, no sea simple. Por ejemplo:“elefanteneumáticocarpeta”, incluso contemplando la presencia de espacios en blanco. Por ejemplo: “cocina televisor ventana”. También pueden utilizarse frases cortas sin sentido, tales como “blue pigs do not piss”, “los tontos huelen amarillo”, “los de aquí son cortos de nariz”, “azulín, azulado, esta contraseña me la he inventado”. ”

Si deseas verificar la fortaleza de alguna clave Kaspersky tiene una herramienta donde puedes ver cuanto tiempo tardan en averiguarla con las herramientas de actuales de hacking, https://password.kaspersky.com/es/

Como consejo general cambia las contraseñas de vez en cuando.

Y por último si quereis ver si os han pirateado la cuenta leer este artículo de la revista computer hoy.

Algunos consejos de la OSI para navegar por internet

Ofuscación parte del DNI en anuncios. Nueva Ley de Protección de Datos.

Como ejercer tu derecho al olvido

Protege tus activos web con WAF de código abierto (Open Source WAF)

CCN aconseja que los password sean más largos

#35. Typosquatting, el ciberataque que utiliza errores tipográficos

#34. ¡Alerta con los juegos online y las aplicaciones gratuitas!

#33. ¿Cómo puedo saber si mis datos se han filtrado en internet?

#31. Protege tu información. ¡Haz copias de seguridad!