Después de muchos años de usar software antivirus (obviamente en Windows), deseo dar algunos consejos sobre este tipo de programas:

Nunca uses un antivirus crackeado:

El uso de software creackeado (cualquiera que sea) no es recomendable, ya que tu no conoces el código fuente del software y de la misma manera, no conoces como funcionan los cracks que se descargan de sitios de dudosa procedencia y llenos de más virus y malware (es irónico verdad) Usar un antivirus creackeado, es como comprarle a un ladrón una cerradura para tu casa.

Nunca uses dos o más programas antivirus al mismo tiempo:

Esto, además de ralentizar tu sistema, ocasionará conflictos con los virus encontrados. Si uno de los antivirus encuentra un virus procederá a eliminarlo, pero como también el otro programa antivirus lo encuentra, él también lo desea eliminar, entonces se vuelve un dilema, y en muchas ocasiones, ninguno de los dos puede eliminar el virus, porque ninguno puede tomar el control del virus en sí.

Actualiza periódicamente el software antivirus que utilizas:

Esto, se resuelve estando conectado a internet las 24 horas del día. Pero cuando no tienes esta facilidad, te recomiendo usar un antivirus que sea sencillo de actualizar. Los que considero fáciles de actualizar, sin una conexión de internet fija, además de ser gratuitos son (no tienen un orden de importancia en particular):

1. BitDefender Free Edition
2. Avast Home Edition Free
3. AVG Free

Además del antivirus, usa un software AntiEspías:

Este tipo de software es recomendable, porque aparte de los virus, existen otro tipo de molestias llamadas espías o malware, las cuales a veces no son catalogadas como virus y por lo tanto, el antivirus no los reconoce y consecuentemente no los elimina. Uno de los mejores es: SpyBot S&D
Desactiva la ejecución automática de las unidades extraibles: Esto significa que cuando insertes una memoria ningún archivo se ejecutará automáticamente. En los últimos meses la mayoría de virus se esparcen usando este método. Aquí te doy una pequeña explicación sobre como hacer esto.

Prueba usar Linux:

No soy del tipo de persona que defiende a algún sistema operativo en particular, porque los dos que uso (por el momento) Windows XP y Ubuntu Hardy Heron, tienen sus virtudes y obviamente sus defectos. Pero creo que con Linux podemos reducir el tráfico de virus drásticamente en nuestro equipo. Aunque no lo creas, es posible. Lee la entrada que publiqué hace unos días y podrás comprobarlo.

Si conoces algún otro consejo que podamos aplicar para no tener problemas con los virus, agradeceré tus comentarios.

Leo en Kryptópolis que ha sido publicada la última versión de BackTrack. Una de las distribuciones Linux para auditoría wireless, de la cual hablé hace algunos días.

Lo más interesante es que se puede descargar en tres “sabores”:

• Imagen ISO para quemar en CD
• Versión USB
• Imagen para usar con VMWare

Además, veo que en remote-exploit.org están ofreciendo un servicio pecular, en donde puedes colocar el nombre de tu empresa en lugar de los logotipos de inicio de sesión de BackTrack, para así tener una distro más personalizada.

SecurityTube es un sitio relativamente muy nuevo (Freak Labs lanzó la beta del sitio en mayo 2008) en el cual se alojan muchos videos sobre seguridad informática. Me llamó la atención el hecho de que muchos videos están orientados a la tutoría sobre redes inalámbricas.

Los videos alojados en el sitio los puedes colocar en tu blog (así como YouTube) y también puedes subir tus propios video-tutoriales sobre seguridad informática.

Puedes suscribirte vía Feed RSS a los nuevos videos que sean publicados. Sin duda un lugar de referencia para los que queremos aprender sobre seguridad informática.

Enlace: http://securitytube.net/Default.aspx

Es muy frecuente escuchar de personas que hackean redes inalámbricas usando sus computadoras portátiles (en su mayoría) o de personas que se dedican a hacer auditoría de redes inalámbricas o wireless, pero nunca sabemos cuales son las herramientas que utilizan. Aquí les hago un pequeño listado de las distribuciones Linux que son usadas en este apartado y la que personalmente uso para fines educativos.

Russix

Russix es una distribución Linux live basada en Slax, para el análisis de conectividades inalámbricas.

Como otras distribuciones similares, se trata de un producto con determinados programas muy empleados cuando se realizan auditorías wireless, como por ejemplo Wifizoo, Wepattack, Kismet, cowpatty o asleap. Como siempre, todo está orientado a la ruptura de claves WEP, WPA y WPA2. Si se dispone de dos tarjetas, es factible realizar una ruptura WEP en sólo 6 pasos, mediante un método que se conoce como ataque Evil Tiny Twin.

Para usar Russix necesitaremos una tarjeta wireless con chipset Atheros. (como la de mi Eee PC) Esta exclusión se fundamenta en que los chipset Atheros son, en opinión de los autores los únicos que pueden procesar inyecciones de paquetes fiables para ataques contra WEP y WPA.

Troppix

Es una distribución Linux casi desconocida, porque la página principal del proyecto no está accesible y porque no se encuentra mucha información acerca de ella en la red. (Aunque la poca que encontré es muy buena) El entorno Gráfico de Troppix iceVM y está basada en Debian. Trae todas las herramientas para ejecutar auditoría wireless.

Troppix cuenta con las siguientes características: Escaneado de redes vía iwlist y elección y conexión mediante un sencillo menú. Configuración de algunos parámetros. Petición de IP vía DHCP. Generación de scripts de conexión a redes favoritas personalizados. Soporte de Macchanger para cambiar por software la MAC de su tarjeta por una introducida manualmente o por una aleatoria. Soporte de encriptación WEP

WifiSlax

Wifislax esta basado básicamente y principalmente en SLAX (basado en la distribución Slackware Linux).

En la última versión, lo que respecta a las aplicaciones, se le ha dotado de ciertas herramientas muy importantes para la auditoria wireless para el facil manejo para todos, y en la medida que ha sido posible, se ha traducido al español, como por ejemplo el airoscript. Ademas se ha incorporado una serie de lanzadores gráficos par facilitar el uso del teclado para muchas herramientas. Actualmente la versión final es la 3.1

Arudius

Arudius Linux es un Live CD, utilizado por profesionales para ayudarles a evaluar los sistemas y garantizar la confidencialidad, integridad y disponibilidad de datos. El CD se carga con las herramientas para pruebas de penetración y análisis de vulnerabilidad. Está basado en Zenwalk Linux. Se encuentra alojado en SourceForge

BackTrack

Es, quizá la más poderosa herramienta para la auditoría wireless, con el consecuente hecho de que es más profesional y dificil de configurar y de usar.

Se presenta como un LiveCD (por lo que ni siquiera necesita instalación) que proporciona acceso a más de 300 herramientas de todo tipo (sniffers, exploits, auditoría wireless, análisis forense, etc) perfectamente organizadas. Por lo demás BackTrack incorpora también todas utilidades habituales en cualquier distribución Linux.

BackTrack deriva de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX.

WHAX es la evolución del Whoppix,(WhiteHat Knoppix) el cual pasó a basarse en SLAX en lugar de en Knoppix.

Referencias: Wikipedia en Español y sitios oficiales.

Desde ahora, todos los archivos que yo suba a este sitio (revistas, software, Instaladores Automáticos de Drivers™, etc) llevarán una comprobación (checksum) MD5.

¿Qué es la comprobación MD5 (checksum)?

La utilidad MD5 genera un número que se basa en el contenido del archivo comprimido o sin comprimir, si por cualquier causa se modifica dicho fichero, el checksum será diferente. Las causas de esa modificación pueden ser varias, por ejemplo que el fichero esté corrupto o, lo que es peor, que el fichero haya sido modificado por alguien más. Por tanto si el checksum mostrado no coincide con el que obtengas una vez que lo has bajado, no deberías fiarte del contenido de dicho fichero.

¿De dónde bajar la utilidad MD5.exe?

La puedes bajar usando este link de mi sitio: md5v12005.zip (que incluye el código fuente de C para Windows)

¿Cómo usar la utilidad MD5?

¿Qué hago si el valor que obtengo no es el mostrado en la página?

Si se te da el caso de que el checksum mostrado no coincide con el que te muestre esa utilidad, debes avisarme inmediatamente, y no usar el archivo mientras yo no esté seguro de la razón por la cual el checksum no es el mismo.

Este sistema te dará más seguridad de que los archivos que descargues de este blog, serán auténticos y probados por mi.

Referencia: http://gamersmafia.com/tutoriales/show/56

Más información: http://es.wikipedia.org/wiki/MD5

A continuación describo como desactivar la Notificación de Autoinserción Automática de CD bajo XP Profesional, ya que en este sistema operativo es más difícil que en otras versiones Windows:

1.) Pulse el icono ‘Inicio’

2.) Pulse el icono ‘Ejecutar’

3.) Teclee ‘gpedit.msc’ y a continuación pulse la tecla ‘Enter’

Con esto accederá al editor de políticas del sistema, en la ‘Ventana Directiva de Grupo’ realice la siguiente secuencia:

1.) Pulse el icono ‘Configuración del equipo’, después ‘Plantillas administrativas’, ‘Sistema’, ‘Desactivar reproducción automática’.

En estos momentos se encontrará ante una nueva pantalla ‘Propiedades de Desactivar reproducción automática’. Marque la opción ‘Habilitar’, en el menú desplegable coloque el valor ‘Unidades de CD-ROM’, y para finalizar pulse ‘Aplicar’. Hecho esto, los discos compactos que inserte en sus unidades de CD-ROM no se auto-ejecutarán.

Introducción

El módulo Apache mod_security es un módulo de seguridad muy poderoso. Combinado con reglas predefinidas, usted puede cerrar muchos agujeros de seguridad en su servidor, abiertos por aplicaciones mal escritas de php o aplicaciones de perl.

Desafortunadamente el módulo mod_security no es parte de la distribución SLES10. Para instalarlo, tenemos que instalar algunos otros módulos. Esta guía te ayuda a instalar mod_security en SLES10. También te ayuda a remover el módulo, construyendo paquetes RPM que fácilmente lo puedas desinstalar.

Instalar Apache2

Antes que nada debes instalar Apache2. Esto es muy simple con el siguiente comando:

yast2 -i apache2

Instalar paquetes requeridos

Se necesitan algunos módulos para construir mod_security. Instale los siguientes paquetes:

yast2 -i libxml2-devel pcre-devel apache2-devel curl-devel gcc gcc-c++

Apache2-devel es requirido para apxs2. curl-devel es opcional

Obtener e Instalar Checkinstall (para empaquetar)

Para seguirle la pista al software instalado y permitir al usuario desinstalar y actualizar software, checkinstall puede crear a los paquetes RPM, DEBIAN (DEB) y Slackware. En lugar de ejecutar “make install” simplemente ejecuta “checkinstall” y checkinstall instala todos los archivos requeridos, tal como lo haría “make install“.

Obtén checkinstall desde aquí: http://www.asic-linux.com.mx/~izto/checkinstall/download.php.

wget http://www.asic-linux.com.mx/~izto/checkinstall/files/source/checkinstall-1.6.1.tgz
make
make install
checkinstall
cp /usr/src/packages/RPMS/i386/checkinstall-1.6.1-1.i386.rpm .
rpm -ivh checkinstall-1.6.1-1.i386.rpm

Obtener e Instalar liblua

El lenguaje de programación LUA es usado por mod_security para la configuración. Debes compilar LUA como un módulo compartido.

Obtén LUA desde aquí: http://www.lua.org/ftp/lua-5.1.3.tar.gz.

wget http://www.lua.org/ftp/lua-5.1.3.tar.gz
tar -zxvf lua-5.1.3.tar.gz
cd lua-5.1.3
make linux
checkinstall

Aparecerá algo como esto:

[...]
1 - Summary: [ The LUA programming language ]
2 - Name: [ lua ]
3 - Version: [ 5.1.3 ]
4 - Release: [ 1 ]
5 - License: [ GPL ]
6 - Group: [ Development/Languages/Lua ]
7 - Architecture: [ i386 ]
8 - Source location: [ http://www.lua.org/ftp/lua-5.1.3.tar.gz ]
9 - Alternate source location: [ ]
10 - Requires: [ ]
11 - Provides: [ lua ]
[...]

cp /usr/src/packages/RPMS/i386/lua-5.1.3-1.i386.rpm ..
rpm -ivh ../lua-5.1.3-1.i386.rpm

Ahora tienes que construir una carpeta compartida desde el archivo liblua.

cd /usr/local/lib
gcc -shared -o liblua.5.1.3.so /usr/local/lib/liblua.a
ln -s liblua.5.1.3.so liblua.so

Obtener e instalar mod_security

Obtén mod_security desde aquí: http://www.modsecurity.org/download/direct.html.

La documentación acerca de la instalación, la puedes encontrar aquí: http://www.modsecurity.org/documentation/index.html.

cd modsecurity-apache_2.5.2
cd apache2
./configure
make
checkinstall

…
1 - Summary: [ mod_security application level firewall ]
2 - Name: [ apache2-mod_security ]
3 - Version: [ 2.5.2 ]
4 - Release: [ 1 ]
5 - License: [ GPL ]
6 - Group: [ Productivity/Networking/Web/Servers ]
7 - Architecture: [ i386 ]
8 - Source location: [ http://www.modsecurity.org/download/ ]
9 - Alternate source location: [ ]
10 - Requires: [ apache2 libxml2 ]
11 - Provides: [ mod_security ]

cp /usr/src/packages/RPMS/i386/apache2-mod_security-2.5.2-1.i386.rpm ../../
rpm -ivh ../../apache2-mod_security-2.5.2-1.i386.rpm

Configurar Apache2 para mod_security

# /etc/apache2/conf.d/mod_security.conf
LoadFile /usr/lib/libxml2.so
LoadFile /usr/local/lib/liblua.so

LoadModule security2_module /usr/lib/apache2/mod_security2.so
Include modsecurity/*.conf
LoadModule unique_id_module /usr/lib/apache2/mod_unique_id.so

Extraer y Configurar Reglas Core

Obtén las reglas Core desde aquí: http://www.modsecurity.org/download/modsecurity-core-rules_2.5-1.6.0.tar.gz.

cd /etc/apache2
mkdir modsecurity
cd modsecurity
tar -zxvf ../modsecurity-core-rules_2.5-1.6.0.tar.gz

Modifica modsecurity_crs_10_config.conf para saber la ubicación de tus archivos de configuración:

vi modsecurity_crs_10_config.conf

SecAuditLog=...
SecDebugLog=...

Reinicia Apache y prueba tu pagina

Primero reinicia apache para obtener la configuración actual, con este comando:

rcapache restart

Para probar la instalación, escribe un simple (e inseguro) script en PHP como este:

<?
# /srv/www/htdoc/index.php file
$text=$_GET['file'];
echo "Content of File $text";
echo `cat $text`;
?>

Luego prueba abrir los archivos inseguros, con este comando:

http://ip.of.your.server.de/index.php?file=/etc/passwd

Deberías recibir un ERROR 501 en tu navegador y el archivo SecAuditLog debería salir a la vista:

[...]
GET /index.php?file=/etc/passwd HTTP/1.1 …
[...]
Message: Access denied with code 501 (phase 2). Pattern match “(?:\b(?:\.(?:ht(?:access|passwd|group
)|www_?acl)|global\.asa|httpd\.conf|boot\.ini)\b|\/etc\/)” at ARGS:file. [file "/etc/apache2/modsecu
rity/modsecurity_crs_40_generic_attacks.conf"] [line "114"] [id "950005"] [msg "Remote File Access A
ttempt"] [data "/etc/"] [severity "CRITICAL"] [tag "WEB_ATTACK/FILE_INJECTION"]

Salvedades

Cuando accedes a tu servidor via IP, una regla en modsecurity_crs_21_protocol_anomalies.conf deniega esto. Edita el archivo y busca “Check that the host header is not an IP address”.

Links y Referencias

• Página principal de mod_security: http://www.modsecurity.org/
• Página principal de LUA: http://www.lua.org/
• Página principal de Checkinstall: http://www.asic-linux.com.mx/~izto/checkinstall/
• Página principal del autor de esta guía: http://www.elconas.de

Traducción libre de http://www.howtoforge.com/installing-mod-security-on-sles10

Leyendo a Arturo Goga me encuentro este excelente post sobre como podemos estar más seguros al navegar en internet cuando navegamos desde Windows XP. Resumo todos los consejos aquí:

1. Dejar / actualizar Internet Explorer
2. Usar un buen antivirus
3. Generar passwords seguros y guardarlos con KeyPass
4. Usar Ad Aware (Eliminar Spyware)
5. Ccleaner para eliminar el historial y las coockies

Link para leer el post completo, te lo recomiendo.

Interesante artículo que encontré en http://www.soygik.com/ en donde podemos hacer una prueba de la protección en tiempo real de nuestro antivirus (obviamente en Windows).

Haz la prueba:

1. Abre un editor de textos (notepad) y pega el siguiente texto (sin las comillas dobles):

“X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*”

1. Guarda el archivo en cualquier lugar de tu computadora.
2. Al instante debería activarse la protección en tiempo real de tu antivirus, indicando que estas en peligro. En mi caso esta fue el mensaje de BitDefender:

(si no aparece ningún mensaje similar a la captura, preocúpate por cambiar de antivirus o actualizar el que tienes)