¡Enseñame el canario! ¿Qué es un “warrant canary”?

Warrant canary o alerta de canario es un método mediante el que los sitios y servicios webs informan a las personas que los visitan, que la justicia de EE.UU. no les ha pedido información sobre sus servicios y/o usuarios.

Hace un buen montón de años, los mineros que picaban el carbón en las minas, llevaban con ellos un canario en una jaula. No lo llevaban como medio de distracción de su dura faena, el motivo era otro.

El canario era una especie de alerta de fugas de grisú. Un gas que se produce en las faenas de la minería y que podía ser muy peligroso. Cuando el canario dejaba de cantar, esto alertaba a los mineros de que quizás había un escape de grisú y era momento de ponerse a salvo.

De esa práctica ya en desuso, ha quedado el nombre que ha sido heredado para otra alerta, que nada tiene que ver con minería, con gases, pero que igualmente puede ser muy útil para alertar de peligros.

Una alerta de canario o “warrant canary” aplicado en el siglo XXI y a internet, es un certificado, que algunos sitios servicios en línea emiten para alertar que no tienen peticiones por parte de la justicia, ni que están investigando sus servicios o les han pedido colaboración para investigar más a fondo.

Sigue leyendo “¡Enseñame el canario! ¿Qué es un “warrant canary”?” →

Crea y comprueba tus contraseñas en la terminal de #Linux

Veamos cómo crear contraseña o cómo comprobar la eficacia de las que usamos mediante la línea de comandos de GNU/Linux.

Las contraseñas son piezas esenciales en nuestra vida en la red o servicios on-line que utilizamos. Nuestro correo, nuestras redes sociales, los servicios en los que nos registramos, etc. Basan su seguridad en esa pequeña palabra, número o mezcla de ambos.

Y teniendo la importancia que tienen, creo que no le damos el valor que debería tener. En el blog ya has podido leer sobre la elección de contraseña o frase de paso, algún gestor de contraseña para la línea de comandos, y cómo usarlo y sincronizar esas contraseñas con git.

Esta vez vamos a utilizar la línea de comandos de GNU/Linux y un par de utilidades, para comprobar las contraseñas que usamos o para crear una nueva.

Sigue leyendo “Crea y comprueba tus contraseñas en la terminal de #Linux” →

Black Monitor la distribución Linux derivada de openSUSE orientada a seguridad informática y “pen testing”

BlackMonitor es una incipiente distribución de GNU/Linux basada en openSUSE Leap y que está orientada a labores de seguridad informática informática forense y pruebas de penetración de sistemas o pentesting.

El lagarto Black Monitor

En GNU/Linux nada impide que cada cual cree su propia distribución de GNU/Linux. Y debido a esto, son varias las distribuciones de GNU/Linux derivadas de otras distribuciones y creadas para una tarea o labor concreta.

Si hablamos de tareas de seguridad informática, de pruebas “pen testing” o informática forense, podemos encontrar grandes distribuciones como:

Kali Linux
Black Arch
Parrot Security

Por mencionar sólo algunas de las opciones que existen. A este grupo de distribuciones orientadas a una tarea en concreto llega una nueva distribución llamada Black Monitor y basada en openSUSE Leap 42.2 lo que la hace única en su especie.

Sigue leyendo “Black Monitor la distribución Linux derivada de openSUSE orientada a seguridad informática y “pen testing”” →

¿Contraseña o frase de paso?

¿En qué se diferencia una contraseña de una frase de paso? ¿Cuando utilizar una u otra opción a la hora de proteger nuestra privacidad? ¿Cual es más segura?

A la hora de registrarnos en algún servicio, protegemos nuestra identidad y nuestros datos con una contraseña personal que nos da “la llave” para desbloquear esos servicios y poder acceder a ellos, nuestra cuenta en distintos servicios como distintas webs, foros, blogs, etc.

Estas contraseñas generalmente están compuestas por una cadena más o menos corta de caracteres que forman “una palabra” en la que en ocasiones nos piden que contenga números, mayúsculas y minúsculas o caracteres que no sean alfanuméricos. Pero no permiten espacios en blanco.

El uso y combinación de eso hace robusta una contraseña, la exclusividad de usarla sólo en un servicio la hace todavía más segura (esa debería ser la norma general).

En ocasiones lo que nos piden no es una contraseña, si no una frase de paso (en inglés passphrase) lo que generalmente se atribuye a un conjunto de palabras que forman una frase con espacios en blanco.

Las frases de paso son incluso mucho más robustas a la hora de tratar de romperlas y conseguir adivinarlas.

Sigue leyendo “¿Contraseña o frase de paso?” →

Privacidad en la red ¿Quién la necesita?

Todos necesitamos reclamar la privacidad en la red. Pero mucha gente por diversas razones la necesitan más que otros. Difundamos las herramientas que existen.

Lennon

Quizás piensas que tu no necesitas tomar medidas extra para navegar de manera segura por la red… ¿Pero siempre será así? ¿O será así para los familiares y amigos que tienes? Quizás en algún momento y para algo cotidiano necesites navegar de manera segura y anónima por la red, ¿Por qué no conocer y divulgar las herramientas que hacen eso posible?

Sigue leyendo “Privacidad en la red ¿Quién la necesita?” →

Mantén tu privacidad en tu “smartphone”

Los teléfonos inteligentes se han convertido en una herramienta útil en muchos casos. Pero no debemos dejar que sea una herramienta más de espionaje y seguimiento.

9b724-jqpoyye

Ya seas un ciudadano medio que busca mantener tus derechos de privacidad, o un activista, periodista, o una organización humanitaria que busque mantener a salvo su trabajo y su seguridad y anonimato, para conseguirlo se deben seguir ciertas reglas y hábitos en tus comunicaciones.

Las revelaciones de Snowden, sacaron a la luz que eres sospechoso (sí, tú también) hasta que se demuestre lo contrario (y aún así, ya veremos…) por tanto eres susceptible de ser espiado.

Sigue leyendo “Mantén tu privacidad en tu “smartphone”” →

OTR.to servicio de mensajería cifrada P2P

¿Quieres utilizar un servicio de mensajería con un contacto, que sea seguro y anónimo? OTR.to se une a esa lista para mantener el anonimato.

Lennon

Las noticias sobre la NSA y las filtraciones de Snowden, han confirmado lo que se sospechaba, todas nuestras comunicaciones por la red son susceptibles de ser espiadas.

Grandes servicios como Facebook y Google, no hacen sino llenar esas grandes bases de datos sobre todos nosotros que los centros de inteligencia de paises guardan sobre sus usuarios, que empequeñecen a los registros que recopilaron durante años la Stasi, y que indignaban a las democracias que hoy en día les superan con creces!!

Sigue leyendo “OTR.to servicio de mensajería cifrada P2P” →

Atacado el foro en inglés de openSUSE

Un ciberdelincuente entra en el servidor del foro de openSUSE, pero NO se han visto comprometidos datos de los usuarios.

foro

Según he podido leer, un ciberdelincuente pakistaní que se hace llamar ‘H4x0r HuSsY’ ha conseguido burlar la seguridad de vBulletin y entrar en el foro de openSUSE en inglés.

Según parece el foro en inglés utiliza la versión 4.2.1 de vBulletin que es vulnerable a diversos ataques.

He preguntado en el canal IRC de openSUSE a Jos Poortvliet, el community manager de openSUSE, y los datos y contraseñas de los usuarios estarían a salvo, ya que se encuentran en otro servidor, al que el cracker no ha tenido acceso. De todas formas sería recomendable a los usuarios cambiar sus contraseñas, etc…

Al momento de escribir este artículo, el blog en inglés se encontraba sin conexión. Creo que va a haber noticias por parte de openSUSE, así que estaremos atentos a lo que digan y que pronto se restablezca el servicio del foro.

Warning: Our forums are down because they were defaced. We’re currently investigating what exactly has happened. 1/2

— openSUSE (@openSUSE) enero 7, 2014

Rest assured, no user credentials have been leaked as we use a single sign on system for our services. We’ll give you details ASAP! 2/2

— openSUSE (@openSUSE) enero 7, 2014

Actualización: Desde openSUSE dan una primera valoración: https://news.opensuse.org/2014/01/07/opensuse-forums-defaced/

Enlaces de interés

Hacker news | http://thehackernews.com/2014/01/openSUSE-Forum-Hacked-by-Pakistani-hacker.html
Foro en ingés de openSUSE | https://forums.opensuse.org/

————————————————–

Deep Web: El Internet no indexado en los buscadores

¿Has oido hablar de la DeepWeb? ¿Quieres conocer un poco más de qué se trata? Sigue leyendo y escuchando, abre los ojos y las orejas!!

Ya por el blog, alguna vez os he traido audios que me han parecido interesantes, y todos (creo recordar) del programa de radio Carne Cruda. Hoy repito, ya que traigo por aqui un nuevo audio de este programa de radio presentado por Javier Gallego, el hombre poco hecho.

En este caso Javier Gallego entrevista a dos expertos en seguridad informática como son el Maligno Chema Alonso y Yago Jesús junto con un miembro de la Guardia Civil de la brigada de delitos informáticos.

Ellos nos explican qué es eso de la deepweb, qué hay, y que maneras existen para adentrarse en ese proceloso submundo al margen de la inexación de los buscadores webs. Si navegas, atente tu mismo a las consecuencias…

Quería añadir aqui el audio, pero no he sido capaz, así que os dejo el enlace a la web, donde prodréis escuchar el audio:

http://www.cadenaser.com/sociedad/audios/carne-cruda-deep-web-internet-ves/csrcsrpor/20131018csrcsrsoc_13/Aes/

Y para acabar os dejo con un vídeo del gran Chema Alonso en el que nos habla de la importancia de la seguridad y los metadatos que no se ven y en los que quedan reflejados muchas de las acciones que realizamos con los documentos y archivos que manejamos.