Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de proteccion

Bastionado de un servidor

Una de las tareas comunes que deben aplicarse a un servidor que va a pasar a producción es fortalecer la seguridad que lleva por defecto el sistema. A esto se le llama bastionar o securizar.

Los siguientes puntos se van a centrar únicamente en la seguridad de la máquina, sin extenderse en los elementos externos que se pueden utilizar para securizar el equipo, como NIDS, IPS, firewalls, auditorías periódicas o cañones de fotones.

  • Software siempre actualizado.
  • Configuración deficiente de las aplicaciones.
    1. Ocultar en la medida de lo posible información “jugosa”.
    2. Cifrados débiles.
    3. Permisos de usuario y administrador.
    4. Política de contraseñas.
      1. Aplicar una política restrictiva cuando se vaya a almacenar una contraseña, como el tamaño mínimo, el uso de mayúsculas, números, caracteres especiales.
      2. Controlar el acceso a la aplicación, con un máximo de intentos, o un delay entre intentos.
      3. Evitar que se pueda utilizar una palabra de diccionario. Se puede usar un agente que lo detecte: http://www.debian-administration.org/articles/59
      4. Y sobre todo, nunca nunca usar la misma contraseña para cada cuenta o servicio o máquina. Vulneran una contraseña, y pueden tomar el control del resto de servicios o máquinas. Como acordarse de todas ellas es imposible para un mortal medio, es recomendable usar herramientas como KeePass o Password Gorilla.
      5. Usar herramientas específicas de hardening, como WAFs o PHPIDS
  • Permisos de ficheros.
  • Monitorizar o restringir el acceso a cuentas privilegiadas.
  • Eliminar servicios innecesarios.
  • Aislar la máquina del resto de equipos. 
  • Usar un HIDS.
  • Uso de syslog remoto.
  • Usar parches del kernel como SELinux, AppArmor, o PaX.
  • Particionar para aplicar distintas directivas de seguridad.
  • Uso de sudo.
  • Otros:
    1. Monitorización de recursos, como RAM, CPU, espacio en disco, o servicios levantados. Imprescindible para un sysadmin conocer en todo momento el estado de un servidor.La herramienta más popular para esta tarea es Nagios.
    2. Backups y plan de contingencias: de nada habría servido todo este bastionado si un fallo de disco duro hace que se pierda toda la información y el servicio quede inaccesible. Para eso es imprescindible un sistema de copias de respaldo y si el servicio que ofrece es crítico, pensar en implantar un sistema de alta disponibilidad que redunde el servicio inmediatamente en caso de que éste caiga.

Artículo completo en: securityartwork

Fuente:  

Vulnerabilidad en la función autocompletar de LinkedIn

Una nueva vulnerabilidad descubierta en la popular funcionalidad de ‘Autocompletar’ o ‘Auto fill’ que puede permitir el robo de datos por parte de terceros.

Esta funcionalidad proporciona que otros sitios web puedan permitir que los usuarios de LinkedIn puedan completar rápidamente los datos del perfil, incluyendo información sensible como nombre completo, número de teléfono. dirección de correo electrónico, código postal, empresa…etc en un solo clic.

Para más información aquí.

Falsa app suplanta a la de Bankia.


Se ha detectado una app falsa en el mercado oficial de aplicaciones de Google Play. La app fraudulenta, que suplanta a la de Bankia, tiene el objetivo de capturar el usuario y contraseña de la víctima, aparte de tener acceso a ciertos datos almacenados en el móvil y poder realizar ciertas acciones, a través de los permisos que solicita al instalar la aplicación. Mas informacion en:https://www.osi.es/es/actualidad/avisos/2018/04/detectada-una-aplicacion-fraudulenta-que-suplanta-la-oficial-de-bankia-en

Ficheros en la nube

Con respecto a dejar datos personales en la nube, desde la Secretaria General (a través de la pregunta 29 de la Guia Básica de proteccion de datos preparada al efecto ) nos dicen:

“29. ¿Qué precauciones han de adoptarse antes de contratar los servicios de computación en la nube?

El almacenamiento de datos en nube, como nueva forma de prestación de los servicios de tratamiento de la información, válida tanto para una empresa como para un particular y, también, para la Administración Pública, es una práctica creciente no exenta de riesgos en cuanto a la seguridad. La propia naturaleza del modelo Cloud Computing hace posible que, en principio, los datos almacenados “en la nube” se encuentren físicamente en un servidor ubicado en cualquier punto del planeta.

En esta materia, hay que tener en cuenta que:

1) El prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento, pues en definitiva trata datos personales por cuenta del responsable del fichero, en este caso la Universidad de Granada. Por consiguiente, sería exigible, a tenor de lo dispuesto en el art. 12 LOPD, la suscripción de un contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros con la empresa proveedora de este sistema de almacenamiento.

2) En la mayoría de los casos de “nube” no sabemos dónde están físicamente los datos, y pueden que estén almacenados en países a los que resulte de aplicación la normativa sobre transferencia internacional de datos, por lo que habría que estar a lo dispuesto en los artículos 137 a 140 del Reglamento de desarrollo de la LOPD.

3) En materia de seguridad y confidencialidad, los aspectos esenciales a tener en cuenta durante la selección del proveedor de servicios están contenidos en la guía para clientes que contraten servicios de Cloud Computing, aprobada por la Agencia Española de Protección de Datos.

Cumplidas las prescripciones legales y las recomendaciones de seguridad y confidencialidad, es aconsejable que los datos que se almacenen por este medio sean de nivel básico únicamente.

Entre los proyectos en marcha del CSIRC está la creación de una infraestructura de nube privada en el nuevo centro de procesos del edificio Mecenas que, desde la perspectiva de la seguridad, es preferible a una nube pública (sin comparar costes). Por lo tanto sería recomendable que se comentase con el CSIRC alternativas a este tipo de almacenamiento en las que la UGR pudiese tener mayor control.

La relación que mantenga cada usuario de la UGR con este tipo de prestadores lo será a título individual, sin que la Universidad pueda responder en este caso de su cumplimiento y de cualquier responsabilidad que pudiera derivarse de su ejecución, salvo que se trate de un contrato suscrito entre la UGR y el correspondiente prestador.”

En este sentido la AGPD ( Agencia Española de Proteccion de Datos ) eleboró una guía .