asennadas

Ralf Braga envia este anuncio:

chuzame

En: AGNIX, Amizade, Brasil, Eventos, Seguridade, bsd por Roberto Brenlla
1 Comentario »

Sabemos das importantes aportacións que o proxecto OpenBSD fai á seguridade pois é ela o seu leitmotiv.

A raíz duns comentarios feitos por Greg Kroah-Hartman animando MOITO a actualizarmos á nova versión do kernel Linux  2.6.25.10 por graves problemas de seguranza , Linus Trovalds respostou o seguinte (tradución libre feita por Terramel ao pt-br):

“A propósito, e você pode não gostar disso, já que você é tão focado em segurança, uma razão pela qual eu me recuso a esquentar a cabeça com todo esse circo de segurança é porque eu acho que glorifica - e por isso encoraja - o comportamento errado.

Faz das pessoas de segurança “heróis”, como se as pessoas que simplesmente não arrumam bugs normais não fossem importantes.

De fato, todos os bugs normais chatos são bem mais importante, simplesmente porque há muito mais deles. Eu não acho que alguma falha de segurança espetacular deva ser glorificada ou levada tão a sério como sendo mais “especial” que um travamento aleatório espetacular causado por um mau fechamento.

O povo da segurança são geralmente o tipo de pessoa preto-e-branco que eu não suporto. Eu acho que a equipe do OpenBSD é um bando de macacos punheteiros pois dão tanta importância para segurança ao ponto de praticamente admitirem que nada mais importa para eles.

Para mim, segurança é importante. Mas não é mais ou menos importante que todo o resto que também é importante!”

Terramel recomenda que vaias á páxina de NoticiasLinux para ler comentarios ao respecto desta nova. Tamén é bo que leas o fío completo do debate ocasionado pola verba "MOITO" (orixinalmente é 'STRONGLY').

Outra nota sobre o que Linus chegou escribir. Textualemente pon "I think the OpenBSD crowd is a bunch of masturbating monkeys..." co cal a verba "puñeteiros" realmente pode ser considerada como unha tradución educada

asennadas

chuzame

En: AGNIX, FLOSS, Seguridade, bsd por Roberto Brenlla
Sen Comentarios »

Adeona é un sistema con licenza GPL que vai rastrexando o dispositivo portátil onde estea instalado de tal xeito que, segundo din no propio proxecto, sirve para atopalo doadamente cando o perdas ou sufras o seu roubo.

O software non traballa cun sistema central propietario, é dicir, quen instala o programa non ten que confiar en terceiras partes senón que perserva a privacidade...

Adeona está deseñado para usar o servizo de almacenamento distribuido e de código aberto chamado OpenDHT. Así, o programa cliente monitoriza continuamente a actual localización do dispositivo grazas a informacións como a súa IP e maila topoloxía de rede. Todo ilo empregando potentes cifrados para garantir o anonimato...

Os puntos suspensivos que fun deixando son provocados polo posible mal uso que poida facer desta ferramenta. Así o sinala a fonte desta nova:

"Non pode constituír Adeona un sistema de rastrexo en toda regra e un posible atentado contra a privacidade que di protexer? Explícome: instala o cliente no portátil do teu noivo/a, esposo/a, empregado/a e terás unha referencia constante e permanente da súa localización.

Tecnoloxía de dobre uso, xa o sei, pero en calquera caso, a min paréceme mellor como sistema de espionaxe que como sistema antirrobo..."

E todo ilo, claro, se quen roube o trebello non se lle dá por formatalo todo.

Curiosamente sobre este software tamén hai unha entrada recente e moi ampla nesta páxina.

asennadas

chuzame

En: AGNIX, FLOSS, Internet, Seguridade, Tecnoloxía por Roberto Brenlla
Sen Comentarios »

O estudante en Harvard Ethan Zuckerman fixo unha guía práctica poñéndose na pel dun funcionario cuxa intención é sacar á luz informacións sobre un escándalo do cal é testemuña, nun país onde pode ser perigoso facelo.

Estes consellos non se destinan a expertos en cifrado (mal nomeado criptografía), máis ben a persoas que viven en países onde non se respecta a liberdade de expresión e que temen pola súa seguridade e queren protexer a súa vida privada. Un artigo da EFF (Electronic Frontier Foundation), unha organización norteamericana de defensa das ciberliberdades, "How to blog safely"  dá informacións prácticas complementarias sobre este tema.

A personaxe de Ethan chámase Sarah, traballa como contable nos servizos do Estado. Dáse conta de que o seu xefe, un ministro, aprópiase de fondos públicos. Quere que isto saia á luz, pero teme perder o seu posto. Se o fala co ministro, sempre que obteña unha entrevista, será despedida. Fala cun xornalista que traballa para un xornal local, pero lle contesta que non pode traballar sobre este asunto coas escasas informacións que ela ten, e que necesita documentos para demostrar o que afirma.

O artigo completo (en castelán).

asennadas

chuzame

En: AGNIX, Lista de ligazóns (blogroll), Seguridade por Roberto Brenlla
1 Comentario »

Hai pouco tratei neste artigo o tema xenérico da importancia de termos contrasinais o máis seguras posibles cunhas regras xenéricas e prácticas. O amigo Óscar ampliou o anterior cun novo artigo amosando como telo todo máis cómodo e seguro grazas ao programa Revelation. Logo disto véu un comentario a ese artigo feito por Xurxo ofrecendo unhas ligazóns a un programa multiplataforma con licenza libre GPL nomeado Keepass.

E si, semella que Keepass é unha moi completa solución para xerar e xestionar contrasinais. É extensible grazas a unha ampla colección de engadidos (plugins) alén de ser unha aplicación portable que podes levar na túa memoria USB e empregalo en calquera sistema operativo ou dispositivo móbil (PDAs, teléfonos con Symbian e j2me, etc).

Keepass engade a todo ilo unha boa facilidade de uso. Para saber máis desta aplicación e usala a cotío tes esta guía paso-a-paso (en inglés) que inclúe varias imaxes.

En concreto, a versión para GNU/Linux e Mac é nomeada como KeepassX.

asennadas

chuzame

En: AGNIX, Amizade, FLOSS, Seguridade por Roberto Brenlla
2 Comentarios »

Atopado en Tux Vermelho que di "Roubado algures na net....."

asennadas

chuzame

En: AGNIX, Curiosidades, FLOSS por Roberto Brenlla
Sen Comentarios »

Óscar Casal vén de publicar o seguinte:

O porqué diste documento?

Días atrás, o meu amigo Roberto Brenlla publicou en AGNIX unha nova na que puña coma título “Creando contrasinais seguros”. Explicou unha serie de técnicas para crear contrasinais seguros e o máis importante, coma recordalos.

Despois de lelo artigo comenteille o que eu adoito usar despois de ser aconsellado un día por un compañeiro meu do traballo: revelation. No meu caso o meu traballo é de admin de sistemas e para crear contrasinais e lembralas en tódalas máquinas é moi difícil, ademáis de lembrarme de tódolos contrasinais do banco, das contas de correo...ou sexa, unha tarefa harto difícil ou case imposible.

Antes de comenzar a empregar este gran programa chamado revelation a miña solución pasaba por ter todos os contrasinais arquivados nun único arquivo encriptado mediante unha chave privada. O inconvinte disto é que cando un usuario viña ou tiña que facer calquer cousa tiña desencriptalo arquivo, no cal amosábanse tódolos contrasinais na miña pantalla en texto plano durante un intre e logo usala onde correspondera o cal non é moi eficiente (outra opción pasaría telas todas anotadas nun block de notas ou post-it na pantalla do meu ordenador :-)).

Que é revelation e en que me pode axudar

Roberto Brenlla despois de que lle falara de revelation, buscou e atopou que il mesmo paradoxicamente tempo atrás publicara as bondades deste eiquí. Non direi moito máis do que xa está dito nese enlace, pasaremos á práctica e a ver visualmente que nos pode aportar.

Instalación de revelation en Ubuntu Gutsy

Podemos velas súas dependencias con

#apt-cache show revelation

Para instalalo

#apt-get install revelation

Configuración inicial

A primeira vez que o executemos apareceranos algo parecido ó seguinte:

chuzame

En: Amizade, FLOSS, Seguridade por Roberto Brenlla
Sen Comentarios »

Case que calquera persoa que manexa computadoras sabe da importancia de traballar con contrasinais difíciles de seren descobertas. A pesares disto, aínda hai quen cre que un contrasinal do tipo "123456" ou "qwerty" abonda para manter o seu sistema seguro. Daquela a pregunta pode ser obvia: "Ten tan pouca importancia a información contida nun sistema como para deixalo en mans de contrasinais tan febles?" O certo é que este tema adoita ser un dos maiores pesadelos para quen administra sistemas.

Como facer que os usuarios dun sistema empreguen contrasinais fortes? Que é un contrasinal forte? Como de longo ten que ser un contrasinal?

Sen ánimo de sentar cátedra, hai bastante unanimidade en que os contrasinais deben:

• ter unha extensión mínima de 6 ou máis carácteres
• conter maiúsculas e minúsculas
• conter números e carácteres especiais como, por exemplo, signos de puntuación
• non corresponder con verbas de dicionarios
• non ter datos persoais obvios (por exemplo, o nome dunha mascota)

Mal contrasinal sería "xuntadeg", bo contrasinal sería "hTM,9=3#7swV". Sendo así, como ter contrasinais tan fortes como esta última? Hai varios métodos e até programas como mkpasswd sobre o cal tes este artigo explicativo.

asennadas

chuzame

En: AGNIX, Seguridade por Roberto Brenlla
1 Comentario »

Nos pasados dias puidéronse ler moitas novas referidas ao gran erro de seguridade de Debian, algo que para moita xente crítica supón un duro golpe á imaxe da distro GNU/Linux máis social se con ela xuntamos ás súas derivadas, especialmente Ubuntu.

Aconteceu que os que manteñen os paquetes OpenSSL cometeron algúns erros que comprometían potencialmente a seguridade de calquera sistema equipado con SSH para ser accedido remotamente. Para evitalo os administradores de sistemas terán que purgar os arquivos 'authorized_key' (claves autorizadas) xerados desde o 2006. Dous anos sen advertir o erro é moito tempo para o prestixio dunha distro...

Imaxe tomada de Metasploit.com: "Debian, You Can Never Be Sure"

Porén, empregar unha máquina baseada en Debian para accederes a un servidor remoto via SSH non abondaría para pór en risco á maquina. Sen embargo, se o usuario copiara ao sistema remoto a clave pública xerada nun sistema Debian, por exemplo, para gozar de accesos sen contrasinal, daquela a clave débil (weak key) podería deixar propenso ao servidor a ataques de forza bruta, especialemente cando o nome de usuario fora doado de adiviñarse.

Tes moita información na rede. Así, este artigo liga cara o aviso oficial de Debian así como ao de Metasploit comentando este erro ofrecendo tamén algúns guións (scripts) de forza bruta. Outro bo sitio onde respostares ás túas dúbidas sobre os problemas de cifrado de Debian é este de Hispasec que mo sinalou Manuel Morán.

Para comprobares o estado das túas claves tes a utilidade ' ssh-vulnkey'. Tan só tes que executala e ler a súa sáida para logo obrar en consecuencia.

asennadas

chuzame

En: AGNIX, FLOSS, Seguridade por Roberto Brenlla
Sen Comentarios »

O profesor de informática estremeño, José Manuel Calero Romero, ofrece no seu blogue un Manual de Seguridade (PDF) para Debian que é extensible ás derivadas desta como Ubuntu ou GnuLinex.

Alén deste manual, Calero dipón de diversos materiais didácticos referidos principalmente a redes, hardware e multimedia.

Fonte.

asennadas

chuzame

En: AGNIX, FLOSS, Seguridade por Roberto Brenlla
7 Comentarios »

Para que precisas borrar completamente discos duros? Pódense pór varios exemplos. No meu caso é pola cesión do meu portátil a outra persoa con suficientes coñecementos técnicos como para atopar datos teoricamente eliminados. Outro exemplo ben sinxelo pode ser a venda do teu equipo a unha persoa descoñecida.

Borrar datos cun sinxelo 'rm' ou até formatar de novo o un disco duro non abonda para teres a certeza de que os datos no disco non sexan recuperables empregando ferramentas especializadas como 'foremost'.

Seguindo os consellos de Carlos Rodríguez, hei empregar a ferramenta Darik's Boot and Nuke, máis coñecido como DBAN que vén sendo empregada no proxecto GRUVI (Grupo de Reciclaxe Informática da UVigo).

DBAN é SwL protexido pola licenza GPL a xeito de disco de arranque (disquete ou cdrom) de doado manexo porque só tes que arrancar desde cero o teu equipo empregando ese disco, do mesmo xeito que farías para instalares un sistema operativo, por exemplo. Polo tanto é moi probable que teñas que trocar a prioridade do dispositivo de arranque na BIOS. Tes máis información en README.txt.

DBAN elimina automaticamente os datos contidos en discos SCSI, IDE, PATA e SATA, destruíndo sistemas de ficheiros FAT, VFAT, NTFS, ReiserFS, EXT e UFS con garantías e baixo diferentes métodos de borrado.

asennadas

chuzame

En: AGNIX, FLOSS, Negocios, Persoal, Seguridade, TEGNIX, Tecnoloxía por Roberto Brenlla
Sen Comentarios »

O TSE (Tribunal Superior Eleitoral) do Brasil vén de anunciar que as vindeiras eleccións deste mesmo ano 2008 terán urnas electrónicas con software de autenticación dixital en máquinas con GNU/Linux. Antes tiñan VirtuOS e Windows CE.

Isto foi feito por mor de acadar unha maior seguridade e maila posibilidade de ser auditable. Daquela os expertos informáticos dos partidos políticos terán pleno acceso ao software destas máquinas desde este mes de abril ata setembro co viso de procurar puntos de mellora e fiscalizar estas tecnoloxías.

O comunicado do TSE comeza dicindo:

Embora no passado tenha sofrido ataque massivo de hackers* no dia da eleição, o Tribunal Superior Eleitoral (TSE) deixou claro que não há possibilidade dos sistemas eleitorais sofrerem qualquer tipo de invasão pela Internet. Segundo explicou o secretário de Tecnologia da Informação do Tribunal, Giuseppe Janino, os sistemas funcionam sem qualquer ligação com a rede mundial de computadores. “Não há possibilidade de acesso. As urnas, inclusive, não têm nenhum mecanismo de comunicação e todos os seus dispositivos são lacrados fisicamente”, afirmou, durante a cerimônia de acompanhamento das fases de especificação e desenvolvimento dos programas informatizados a serem utilizados nas eleições municipais deste ano.

(...)

Um dos recursos que serão colocados à disposição dos partidos será o dispositivo de assinatura digital, que servirá para validar os programas que serão desenvolvidos para as eleições, os quais serão todos desenvolvidos na plataforma Linux, de código aberto e softwares livres. A assinatura digital servirá para confirmar a integridade da votação, já que as urnas só vão funcionar se reconhecê-la.

(*) Moitos estamos cansos de ler hackers no canto de crackers. Neste caso, o texto debería dicir, sen dúbida, crackers.

Fonte.

asennadas

chuzame

En: AGNIX, Brasil, FLOSS, Seguridade, Tecnoloxía por Roberto Brenlla
Sen Comentarios »

Namentres o RealID implantarase previsiblemente nos EE.UU, os xaponeses xa levan tempo con algo similar implementado. O Juki Net (Rede de Rexistro de Residentes, ligazón en xaponés) vén sendo desenvolvido desde o 1992. O sistema inclúe un número único de 11 díxitos que identifica univocamente a cada cidadán. Nos datos que almacena están o nome, enderezo, data de nacemento e sexo.

Moitos cidadáns xaponeses semellan esquecer que o seu goberno xestiona esta rede. Porén, moitos outros en todo o país están preocupados polas posibles fugas ou mal uso da información, daí que están a exercer demandas na contra de tal control.

Mentres un tribunal de Osaka ditaminou en contra do sistema, o Tribunal Supremo xaponés ditaminou que non é inconstitucional (é dicir, é constitucional) esgrimindo razóns de confianza no tratamento e seguranza na xestión deses datos. Non deixa claro como aplicará o goberno xaponés este sistema e como pode afectar á privacidade da cidadanía.

Fonte.

asennadas

chuzame

En: Seguridade, Tecnoloxía por Roberto Brenlla
Sen Comentarios »

A Universidade de Princenton vén de demostrar que un novidoso e doado xeito de acceder aos máis protexidos dos computadores obtendo acceso físico desas máquinas.

O informe desa universidade amosa ben ás claras que os cifrados non son tan seguros como se cría pois abonda con manipular axeitadamente a memoria RAM. Si, falan da mesma memoria considerada volátil, a que perde os seus contidos ao desligar a corrente eléctrica...

Abonda con arrefriar ou conxelar a RAM estraída para reter os seus datos durante minutos e até horas. Tamén podes apagar un computador, arrincalo cun disco externo e realizar un envorcado do contido da memoria!

Unha das primeiras aplicacións de todo isto é saltarse os sistemas de cifrado de disco, considerados ata a data como o mellor método para manter a salvo a información sensible. Tras isto colles os programas adecuados, BitLocker de Windows Vista, FileVault de MacOS e TrueCrypt ou dm-crypt de GNU/Linux). Obtida a clave de cifrado, o acceso á información do disco é unha tarefa trivial.

Tes o artigo completo da universidade de Princenton, un video e unha guía de probas.

Unha fonte e outra máis.

chuzame

En: AGNIX, Curiosidades, Seguridade por Roberto Brenlla
Sen Comentarios »