Controlado desde el
19/10/97 por NedStat
|
Especial: Seguridad para redes y equipos caseros
|
|
VSantivirus No. 1295 Año 8, viernes 23 de enero de 2004
Especial: Seguridad para redes y equipos caseros
Consejos para usuarios domésticos (Por Maty y compañía)
http://www.vsantivirus.com/especial-seguridad2004c.htm
Carlosues: Amigo Maty, dado que el parque de PCs personales está en constante aumento, y son parte muy importante en la distribución de nuevos virus, ya que difícilmente pueden usar una red bien protegida como servidor de spam, ¿qué consejo darías a dichos usuarios para que puedan estar tranquilos y seguros de que su ordenador está sólo al servicio de ellos?:
Maty AND {godi/GODMODE OR Wolffete OR Xavier Caballé}
http://www.nautopia.org
Hemos de distinguir entre dos tipos de usuarios:
Los habituales de los sistemas propietarios y código oculto de Microsoft: los inseguros y chismosos WINDOWS, y los que optan por SO libres y de código abierto GNU/Linux, FreeBSD,...
Cualquier sistema operativo recién instalado es inseguro de por sí, necesita ser asegurado, en especial en todo aquello referente a las comunicaciones, básicamente Internet para la mayoría de usuarios caseros (que trabajan en monopuesto o en una pequeña red local).
Particionamiento/redimensionado del disco duro
El proceso de aseguramiento ya comienza durante la instalación. Los actuales discos duros (HD) ya superan el centenar de gigas de capacidad, por lo que han de ser particionados debidamente, instalando el SO en una partición primaria (preferiblemente NTFS para NT, W2000 y WXP). Si lo acompañamos de otros, lo mejor es instalarlos en otras particiones primarias ad hoc (FAT32 para W98/ME). Por eso lo mejor es que particionemos antes, con utilidades externas (el gratuito Ranish Partition Manager 2.44 es una opción de coste nulo), reservando espacio libre para las distribuciones LINUX, creando las dos particiones necesarias durante su instalación, menos problemático.
Muchos ordenadores vienen con SO ya instalado, sobre todo los portátiles (con XP Home en estos días, la opción PRO es mucho más cara y pocos usuarios le sacan partido). Si no queremos volver a instalarlo tras la partición, lo mejor será desfragmentar la partición de sistema (que suele ser la única! del HD) y a continuación reducir el tamaño de la misma (The Partition Resizer v.1.3.4 es gratuito).
Gestor de arranque de los SO
Cada vez es más frecuente tener varios sistemas instalados en una misma máquina, siendo lo más aconsejable el uso de un gestor de arranque externo que nos evitará posibles problemas futuros. Disponemos del excelente, gratuito, código abierto y en español GAG (Gestor de Arranque Gráfico), instalable desde DOS, Windows y LINUX, una maravilla de programa, con entorno gráfico, y con manual disponible en NAUTOPIA escrito por daexma
http://nautopia.coolfreepages.com/gag/GAG_gestor_arranque.htm
Los que instalen LINUX tienen la posibilidad de seleccionar GNU GRUB como gestor de arranque http://www.gnu.org/software/grub/grub-faq.es.html
Servicios innecesarios
Windows, además de muy inseguro es muy chismoso, es decir, que nos espía, a diferencia de sistemas libres, menos inseguros y que no espían a sus usuarios. Versión tras versión, los SO y programas de Microsoft han prestado menor atención a la seguridad, haciendo oído sordos a las quejas que se levantan en la Red. El XP destaca sobremanera en ello, por lo que debe ser acotado debidamente, inhabilitando servicios innecesarios y espías, además de facilitar el acceso a usuarios sin autorización. Para ello disponemos de la utilidad gratuita y en castellano: XP-Antispy 3.72.
Para los nuevos usuarios del XP que lo estrenan en sus flamantes nuevas máquinas, han de tener en cuenta que no se pueden conectar a la red sin tener un cortafuegos instalado y ACTIVADO, ya que si no a los pocos minutos estarían infectados por el Blaster/Lovsan. Una vez detrás de un cortafuegos, han de instalar el SP1 y el resto de la retahíla de parches (incluyendo los que afectan al IE).
En HISPASEC, días atrás se publicó una guía de supervivencia para Windows XP:
Windows XP: sobrevivir al primer día
http://www.vsantivirus.com/wxp-primer-dia.htm
Los servicios innecesarios deberemos deshabilitarlos manualmente. Información exhaustiva y en español:
Servicios y Procesos del WXP en http://www.wininfo.com.ar/main.html
Los servicios de W2000 en el artículo -7 páginas- MATY al desnudo: http://www.nautopia.org
W2000 Server en http://www.lavioleta.net/
En inglés, para W2000 y XP (+ guía instalación W2003 Server) http://www.blackviper.com/
Las distribuciones LINUX (Debian, Mandrake, VectorLinux -Slackware-, Suse, ...) también han de ser aseguradas, siendo lo primero, en trabajar habitualmente como usuario normal, NO COMO ADMINISTRADOR, con todos los permisos. Demasiados nuevos usuarios pecan de creerse invulnerables, cuando ni tan siquiera han modificado la configuración por defecto, cambiado los permisos, habilitado el IPTABLES -configurándolo debidamente, ...
Bichos
El gran problema actual radica en las comunicaciones. Virus, gusanos, troyanos, R.A.T. y demás fauna son términos ya familiares, sobre todo en el entorno Windows. Si bien es cierto que los Windows tienen herramientas de sistema que permiten asegurarlo, casi nadie lo hace, bien por desconocimiento, por comodidad o por simple vagancia (los foros hispanos están llenos de preguntas sobre cómo optimizar los programas P2P, y los usuarios se esfuerzan en aprender, no así en lo relativo a la correcta configuración de los cortafuegos). Recordemos que la comodidad está reñida con la seguridad.
Además de los bichos, también podríamos encontrarnos con algunos desaprensivos (unos pocos crackers y una pléyade de lammers -aprendices de brujo-) que quieran entrar en nuestro sistema para ocultar sus comunicaciones o simplemente fastidiarnos (algo muy habitual entre los usuarios del muy potente pero inseguro IRC y del MSN MESSENGER).
Un inciso, no los confundamos con los verdaderos hackers, pocos en la red hispana, capaces de entrar manualmente en sistemas no caseros, sin dejar rastro y sin provocar daño alguno, y que no publicitan sus actuaciones. Los hackers no andan molestando a los usuarios caseros, siguiendo una "ética hacker". No, son muy pocos, los de verdad, muy lejos de espíritu "mesiánico" alguno, sin carnet que los identifique.
Hackers, crackers, seguridad y libertad, por Manuel Castells
http://www.uoc.edu/web/esp/launiversidad/inaugural01/hackers.html
Enciclopedia Libre
http://enciclopedia.us.es/wiki.phtml?search=hacker
Cierto es que los no usuarios de Windows tienen poco que preocuparse por los bichos, pero no así de esos impresentables que pululan cada vez más.
Windows: "Utilicemos herramientas externas"
La mayoría de las infecciones se producen a través del correo y la navegación, aumentando últimamente las incidencias reportadas por el uso de programas (básicamente juegos) descargados desde redes P2P, olvidando que ha de escanearse lo descargado.
Si bien, el OUTLOOK e INTERNET EXPLORER pueden ser configurados debidamente para evitarnos problemas, muy pocos siguen los consejos al respecto que se comentan en VSAntivirus una y otra vez:
http://www.vsantivirus.com/faq-sitios-confianza.htm.
Aún así, son programas a evitar a toda costa, con numerosos agujeros de seguridad, algunos de los cuales MICROSOFT se niega a reconocer y solucionar prontamente, con su política de parches.
Si disponemos de alternativas gratuitas mejores y en castellano, e incluso de código abierto, ¿a qué esperamos a migrar a ellos? Otros softwares también tienen reportes de vulnerabilidades, en menor cuantía, que solucionan prontamente, reescribiéndolos, y no con parches sobre parches ... que tantos disgustos nos dieron el año pasado, de mano de la empresa de Redmond.
Gestores de Correo Alternativos
Pegasus, gratuito y muy potente, a la par que bastante lioso. En inglés (no parece haber mucho interés en traducirlo).
Eudora Free (incorpora un banner), por desgracia, ha tardado un año en sacar la última versión, mientras las vulnerabilidades detectadas seguían sin solucionarse; pésima política, sobre todo para los usuarios de la versión de pago.
Thunderbird, gratuito, código abierto, de MOZILLA. Está evolucionando muy rápidamente y ya está en la lengua de Cervantes desde la v 0.4.
Sylpheed, Foxmail, o el gestor que incorporan el navegador noruego, de soft propietario, OPERA y el libre MOZILLA (con versión hispana disponible).
El mejor de todos los gestores de correo que conocemos (en cualquier plataforma) es el moldavo THE BAT!, pero es de pago, (incluso usuarios avanzados de LINUX lo emulan gracias a WINE)
http://www.beeeeee.net/nautopia/thebat.htm#thebat
Una maravilla de software, con pleno soporte en español, manuales, mejoras y lista de correo -con web propia e independiente- de usuarios hispanos
http://www.gdutb.org/
Filtrado de correo indeseado (spam)
Para eliminar el spam, lo más efectivo es revisar la correspondencia directamente en el servidor. EUDORA, PEGASUS, THE BAT! lo permiten. Para el resto, hemos de utilizar una utilidad externa. En Windows, volvemos a estar afortunados, disponemos del gratuito, traducido y de código abierto POPTRAY 3.0.2, que es multicuenta, que en la v3 ha superado claramente al más conocido MAILWASHER PRO.
http://www.poptray.org/
También podríamos utilizar programas para el filtrado del correo indeseado (spam), como K9, POPFILE y SPAMPAL o utilizar plugins para el gestor, como el BAYESIT! del THE BAT! Al utilizar filtros bayesianos, van "aprendiendo" con el uso.
http://keir.net/k9.html
http://popfile.sourceforge.net/manual/es/manual.html
http://www.spampal.org/
Navegadores alternativos
Mozilla FIREBIRD, gratuito, de código abierto, multiplataforma y con numerosas traducciones, con una evolución muy prometedora. Muy configurable y seguro.
MOZILLA, incorpora gestor de correo, chat, (por lo que resulta más pesado al sistema que el anterior, más ligero) ... Su evolución natural es el FIREBIRD + THUNDERBIRD. Ideal para los que quieran abandonar rápidamente OUTLOOK e IE.
K-MELEON está basado en el motor GECKO (el mismo de los dos primeros) pero en la línea de la compilación del MOZILLA y no la del FIREBIRD, ligero y rápido, en inglés y menos configurable que FIREBIRD.
OPERA, con versión gratuita, en español, (con banner publicitario) y de pago. Muy configurable y seguro. Requiere menos máquina que el FIREBIRD. En máquinas relativamente modernas, que cada cual elija en función de sus gustos, mientras postergue al inseguro INTERNET EXPLORER y su motor. La ventaja del OPERA es que solucionan en días, incluso en horas, las pocas vulnerabilidades detectadas, facilitando la descarga de la nueva versión, reescrita.
Para aquellas pocas páginas problemáticas tendremos que recurrir al motor del IE, pero no necesariamente a su interfaz. Ahora disponemos de un amplio abanico de interfaces alternativos gratuitos y en castellano: Avant Browser, Crazy Browser, GreenBrowser, MyIE2, SlimBrowser, ... El que recomendamos, por su ligereza y configuración es el MyIE2, que incluso solventa vulnerabilidades todavía no resueltas por M$ (caso de la URL falsificada). La última versión 0.9.12 ya da soporte experimental al motor Gecko!
http://www.myie2.com/html_en/home.htm
Todos estos navegadores e interfaces alternativos son muy superiores al IE clásico, permitiendo el filtrado de publicidad, pestañas/solapas, plugins, skins, ... por lo que no hay excusa para no utilizarlos, ninguna, salvo que el administrador de la red incumpla con sus funciones, demasiado habitual en el ámbito hispano, donde los administradores suelen encontrarse con los problemas generados por otros, al serles impuestos el soft contratado desde otros departamentos, incluido el de seguridad (es como el fútbol, todos saben, todos opinan).
Proxys locales
Para evitar la publicidad excesiva y agresiva, tan en boga últimamente, lo mejor es utilizar los navegadores recomendados. Si además queremos aumentar nuestra seguridad en la navegación y no sólo filtrar la publicidad, lo más recomendable es hacer pasar el protocolo HTTP (navegación web normal) por un proxy local. El mejor, por fortuna, es gratuito y lo disponemos traducido (cómo no, por Senpai), así como manual y foros en nuestro idioma común: PROXOMITRON. ¿Por qué hemos de empeñarnos en el uso de otros de pago, que además son inferiores?
http://pagina.de/senpai/
Estas reglas son sin duda las mejores de cuantas se pueden encontrar en la red, sólo es necesario incluir las reglas para no enviar Referrer y para el Proxy de telefónica.
http://www.jd5000.net/index.php (deberemos revisar las propuestas por nuestra comunidad).
Proxy muy configurable y avanzado, que permite incluso el uso de proxys anónimos para la navegación (preferimos otras utilidades para ello, y con sistemas más avanzados, pero "más problemáticos"). Su creador tiró la toalla meses atrás, más la actual versión 4.5 funciona muy bien. Pensando en el futuro, estamos buscando una alternativa gratuita de igual potencia, siendo PRIVOXY la probable elección, que además es multisistema. En tal caso, recibirá el mismo soporte que el anterior, incluso más, por ser de código abierto y poder participar en su desarrollo futuro (otro tanto se intentará este año respecto al cifrado fuerte: GNUPG, WINPT, ... ).
Mensajeros
GAIM, MIRANDA, JABBER, ... son gratuitos y multiplataforma y permiten conectarse a multitud de redes, incluyendo a la de la insegura MSN MICROSOFT y su mensajero.
También podríamos utilizar FILETOPIA, programa para compartir ficheros, mensajero, voz, comunidades, ... todo bajo cifrado fuerte y en español (que es el que utilizaremos para impartir charlas, seminarios, ... sobre Linux, cifrado, seguridad, ... este año, una vez que la nueva edición de nuestra web con Movable Type esté plenamente operativa en el nuevo alojamiento).
Antivirus y antitroyanos
Los antitroyanos son innecesarios, al ser superados por los buenos antivirus. AVP/KAV de KASPERSKY y McAfee son los reyes en este apartado (NOD32 v1 de ESET sólo detectaba el 80% de un muestrario de 700 bichos utilizado meses atrás por la extinta ENLACES DE SEGURIDAD
http://webs.ono.com/usr016/Agika/, todavía consultable, frente a los ratios del 90-95% de los primeros, superiores a cualquier soft específico -NOD32 v2 ha solucionado las deficiencias de la v1, desconocemos sus ratios-).
Hasta el 17 de Enero del 2002, el mejor antivirus era el ideado por el ruso Eugene Kaspersky. Con la aparición del KAV 4 perdió esa supremacía, al dar graves problemas de ralentización su módulo residente, que poco a poco ha ido solucionando. Mientras tanto, su afamada heurística ha ido empeorando -aún es de las mejores-, pero lo ha compensado con varias actualizaciones diarias! KAV 5 todavía está en fase beta y no lo hemos evaluado, esperemos que aprendan del error cometido, y no lo comercialicen antes de tiempo (error que parece están cometiendo los del cortafuegos KERIO con la versión 4, que puede echar por tierra su bien ganada fama con la v2 y WINROUTE).
A la vista del problema, estuvimos buscando alternativas. Encontramos (lo utilizaba Robin Keir en Noviembre del 2001, el autor del famoso leaktest Firehole y del actual programa antispam K9, me picó la curiosidad) al desconocido antivirus de origen eslovaco NOD32 v1, de la empresa ESET, con Anton Zajac como "mente pensante", evolucionado al excelente NOD32 v2, con Richard Marko como programador responsable de su excelente heurística y velocidad sorprendente (tanto, que algunos dudan a priori de su efectividad, incrédulos ante tanta ligereza).
La v2 soluciona las deficiencias de la anterior http://nautopia.coolfreepages.com/entrevistas/simo20022/simo_nod.htm, revisando y desinfectando todo el correo entrante y saliente, independientemente del gestor utilizado (el deficiente NORTON tiene un módulo similar). Ahora ya revisa los formatos de compresión habituales, no sólo ZIP, acercándose a la potencia del KAV, el mejor en este aspecto.
KAV 4.* Personal Pro se integra perfectamente con THE BAT! gracias a un plugin interno del gestor. Es la combinación perfecta.
Actualmente no podemos decir si NOD32 v2 o KAV4.* es el mejor antivirus, pero sí que son superiores al resto. Desde hace dos años recomendamos utilizarlos conjuntamente, con NOD32 v2 monitorizando permanentemente el sistema y revisando el correo y KAV 4 para los escaneos manuales de ficheros (gestores de descarga tipo FlashGet o P2P) e integrado con THE BAT! Para un usuario particular puede resultar gravoso utilizar dos antivirus, pero no para una red, donde el servidor tendría que correr un soft diferente al de los clientes, sobre todo el servidor de correo.
El resto de antivirus de pago están por debajo de estos dos, bastante por debajo. McAfee, si bien destaca como antitroyano, en todo lo demás no. NORTON, a pesar de sus buenos resultados en VBULLETIN (donde NOD32 es el nº1 y KAV ha ido perdiendo escalones a causa de la heurística y porque se diseñan las pruebas para dejarlo en evidencia, al ser el de referencia de los creadores de bichos -sabedores que si superan al KAV, probablemente también a los demás-) está demostrando ser poco eficaz ante los bichos nuevos, al basarse sólo en su base de virus.
De ahí la importancia de una buena heurística y la frecuencia de actualización de sus bases y módulos.
Parece que McAfee es superior al NORTON, pero no recomiendo ninguno de ellos. NORMAN y SOPHOS (una gran decepción, probado tras saber que Antonio, de HAYGENTEPATO
http://www.haygentepato.8k.com/menu.htm -gracias a él descubrimos al viejo cortafuegos TINY 2.- lo estaba evaluando), mejor que prescindamos de ellos.
Hay más antivirus, de calidad intermedia y con menos marketing, como el ruso Dr. WEB (lamentable soporte en español), el PER peruano, ..., pero ninguno nos ha convencido como alternativa a los dos primeros (el año 2003 estuvimos evaluando unos cuantos, exhaustivamente).
Finalmente nos queda hablar del español PANDA. Los usuarios avezados y los administradores de sistemas lo evitan a toda costa, aún así lo sufren debido a decisiones de otras personas o departamentos. De la nueva versión no puedo comentar de primera mano, pero de las anteriores ... Lo mejor es que utilicemos los buscadores de internet para encontrar información al respecto, no sólo de él. Sí, ese es el auténtico tribunal, la opinión de usuarios contrastados (no los que opinan que tal o cual es bueno porque no les da problemas).
Sea cual sea el utilizado, debe configurarse y ACTUALIZARSE debidamente, algo que demasiados obvian.
Por desgracia, los antivirus gratuitos no están a la altura de lo exigible, y no parece que lo consigan. Mejor eso que nada. Muchos los utilizan para tener una segunda opinión.
Cortafuegos software
Si queremos evitar que se nos cuelen en nuestro sistema o que algún bicho que nos haya infectado previamente pueda comunicarse con el exterior, deberemos recurrir al uso de cortafuegos software personales, incluso si estamos detrás de un router!
Disponemos de un programa gratuito para uso personal: KERIO 2.1.5, que permite, no siendo obligatorio, la creación de reglas/filtros personalizados. Traducido, gratuito, manual y foros en español, con reglas propuestas desde la comunidad nautópata fácilmente importables.
La nueva versión KERIO 4 ha de considerarse BETA, aunque la empresa no lo reconozca. Continuamente le son encontradas vulnerabilidades, a pesar del largo tiempo transcurrido desde su desarrollo, que pasó por una versión 3 que no llegó a fructificar en versión estable. Por tanto, a día de hoy, mejor seguir con el "viejo" KERIO, que sigue tan efectivo y funcional, además de estar ampliamente contrastado.
La última versión KERIO 4.0.10 parece ir bastante bien, según lo que comentan nuestros foreros y godi (que está puliendo su versión de las reglas, en "competencia" con las propuestas por mí para el K4 en el manual escrito por daexma), mas todavía no ha sido "atormentado" debidamente, por lo que no podemos pronunciarnos al respecto de su fortaleza, a día de hoy.
La alternativa es el SYGATE (inferior al primero, pero seguro en la actualidad).
ZONEALARM PRO 4 ha mejorado considerablemente desde las viejas y poco resistentes v2. Permite cierta configuración avanzada, que pocos utilizan.
ZONEALARM FREE 4, mejor eso que nada, sí, con colorines, pero poco más. Tal como se está poniendo el panorama, la no posibilidad de reglas personalizadas lo hace cada día menos aconsejable, sobre todo si tenemos en cuenta que el KERIO 2.1.5 es gratuito!
BLACKICE podría ser uno de los mejores cortafuegos pero, al igual que "eso" del XP, no evita la salida a troyanos, gusanos, servicios del Windows, ... Y no enmiendan (más de dos años denunciándolo).
NORTON FIREWALL. Si deficiente es al antivirus, muchísimo peor es su cortafuegos, que habitualmente van de la mano. Un "coladero" frente a los distintos leaktests disponibles en la red, es decir, fácilmente atravesado desde dentro. Una muestra de la pésima evolución de SYMANTEC, que va absorbiendo a otras empresas, empeorando los productos adquiridos con el talonario ¿quién se acuerda del buen cortafuegos ruso ATGUARD, que es en el que se basa/ó NORTON, ahora SYMANTEC? O las NORTON UTILITIES, o ... No se puede vivir permanentemente de glorias pasadas, ni de la inversión en publicidad.
"Eso" del XP, llamado pretenciosamente cortafuegos interno, que sólo tiene en cuenta los ataques externos, no los internos, dejando al XP las manos libres para comunicar nuestros secretos a la matriz de MICROSOFT y a las distintas agencias de seguridad estadounidenses (no es una fabulación). Que se lo pregunten a los Ministerios de Defensa alemán, israelí, al gobierno sueco, ...
Por deficiente que sea el cortafuegos, es temerario navegar sin él, hecho que muchos "descubrieron" tras la plaga del Blaster/Lovesan de Agosto del 2003. Plaga que también evidenció la necesidad de inhabilitar servicios innecesarios de los Windows para la gran mayoría de usuarios caseros. Tal es el caso del RPC, ya avisado hace dos años y medio en la tabla de reglas para el viejo TINY (los programadores abandonaron la empresa y crearon KERIO, siendo la versión 2 una evolución de la antigua de TINY) subidas en mi antigua página personal, origen de la actual NAUTOPIA
http://nautopia.coolfreepages.com/tabla.htm
Para redes lo mejor es acudir a cortafuegos hardware, hoy por hoy, de coste inasumible para usuarios caseros y sus pequeñas redes locales. En tales casos, en los que se ha de compartir la conexión, lo mejor es acudir al KERIO WINROUTE (el TINY 5 no lo hemos evaluado). En lo posible hemos de evitar compartir la conexión utilizando las facilidades del Windows y el uso del bien conocido WINGATE, tan inseguros ellos (al menos hasta hace pocos meses).
Agujero negro en la galaxia Windows
Desde hace mucho tiempo, venimos denunciando el AGUJERO NEGRO DE PROPORCIONES GALACTICAS que padecen TODOS LOS WINDOWS (Windows 2003 Server no lo he testeado, hay otras prioridades). El título es sensacionalista pero lo denunciado NO. Sí, un pelín exagerado, pero es fruto del "hartazgo" que provoca la no asunción de sus responsabilidades por parte de la empresa de Bill Gates, trasladando el proceso de la solución a otros, cuando los usuarios han pagado por tener un SO "en condiciones", con una seguridad aceptable.
Días atrás fue aprovechada la existencia de una gran vulnerabilidad en una compilación antigua del Kernel 2.4 de LINUX para atacar diversos sites, ataque facilitado por no haber migrado en su día a una compilación del Kernel 2.4 más moderna, con el problema ya resuelto. Pero los usuarios de los productos de MICROSOFT no tienen esa opción, ni la tendrán.
En palabras simples, comprensibles para todos: una aplicación puede hacerse pasar por otra (suplantar) muy fácilmente, habitualmente nuestros "queridos" OUTLOOK e INTERNET EXPLORER, con permiso para comunicarse. Así que el cortafuegos, o el mismo router, no evita la suplantación, "cosas de Windows".
La firma digital MD5 que incorporan tanto KERIO 2 como ZONEALARM no es efectiva, puesto que el engaño se produce antes (cosas de la "DLL injection").
Kerio 3 y 4 ya están programados para evitar la suplantación, pero son vulnerables por otro lado, de ahí que no demos nuestro visto bueno hasta que hayamos contrastado su fortaleza.
SSM System Safety Monitor
Semanas atrás descubrimos un soft gratuito ruso (disponible en inglés y próximamente en español, una vez más gracias a Senpai) SSM System Safety Monitor que permite evitar tal AGUJERO NEGRO de seguridad, del que MICROSOFT se desentiende, descargando la responsabilidad en los cortafuegos, cuando es claramente un GRAVE ERROR de DISEÑO del SO
http://maxcomputing.narod.ru/ssme.html
Wolffete está escribiendo una guía rápida del SSM, con numerosas capturas de pantalla. Intentaremos colaborar en la optimización del programa.
Linux: iptables
Los usuarios LINUX no tienen muchos problemas con virus, ... pero padecen las malas prácticas de los usuarios Windows, así que también han de asegurar el sistema. Si nos centramos en las comunicaciones, disponemos de IPTABLES, que trabaja a nivel del propio núcleo (kernel), siendo un "cortafuegos" de estado, que es a lo que deberían evolucionar los cortafuegos software Windows (por eso gusta tanto KERIO WINROUTE, que es lo más que se aproxima en el mundo Windows).
En la guía rápida disponible en nuestra comunidad y escrita por gringo:
"Es uno de los mejores cortafuegos disponibles, incluyendo soluciones comerciales, y desde luego, la mejor solución gratuita por su potencia y versatilidad.
Hay que apuntar que iptables es una extensión del kernel, es decir, el propio sistema se encarga de su gestión y lo que eso conlleva, para bien o para mal.
Su función consiste básicamente en analizar todo el flujo de tráfico entrante y saliente hacia/desde él y tomar unas decisiones sobre cada paquete en base a unas reglas definidas."
Este año queremos centrarnos en el aseguramiento de LINUX, tanto a nivel escritorio como servidor. Por cierto, para servidores, la mejor opción, la más barata, segura, fiable y rápida pasa por GNU/LINUX y FREEBSD (u OPENBSD), no por WINDOWS. Aquellos que busquen alojamiento web que opten mejor por las soluciones no basadas en Windows, menos configurables y seguras, además de un mayor coste.
Contenedores bajo cifrado fuerte
A pesar de todo, podríamos ser víctimas de un descuido, así que lo mejor es tener a buen recaudo los datos más confidenciales. Para ello lo más cómodo es el uso de software de cifrado específico, como el gratuito PGP 6.5.8 CKT Build 9 Beta 3 compilación de IMAD's (que funciona también en XP -sólo 3 usuarios han manifestado lo contrario, godi incluido-) -tamaño máximo por contenedor de poco más de 800 MBs- y nuevamente traducido por Senpai. Podemos crear un fichero que hará de contenedor donde guardar los datos. Tal contenedor lo podemos montar como una partición más del sistema, con sus mismas propiedades y permisos, cuando queramos acceder a su contenido.
Si queremos crear contenedores de muchos gigas, la mejor opción es el noruego BESTCRYPT, de pago y multiplataforma, ideal para redes. En esos contenedores podremos poner a buen resguardo lo descargado desde los P2P por ejemplo (antes de abrir el cliente, se monta la partición).
Windows XP PRO permite el cifrado de ficheros y particiones. Sí lo permite, pero dados los antecedentes, como para fiarse.
En LINUX, durante la instalación, tenemos la posibilidad de crear particiones cifradas, sin coste adicional.
Copias de seguridad de los datos
Pero no sólo hemos de preocuparnos por aquellas fotos comprometidas de Nochevieja, la declaración de impuestos, o datos financieros, ... también por la documentación y programas guardados en el HD. Para ello, lo más cómodo es utilizar un segundo disco duro donde haríamos copias incrementales de los directorios que queramos. Contamos con el soft gratuito y en castellano (próximamente daexma terminará la traducción del manual, en colaboración con el autor cubano) COBIAN BACKUP 5 (el autor está cavilando en liberar el código, habrá que "estimularle").
Una buena opción es utilizar una placa base que incorpore RAID, lo que permite tener hasta 8 dispositivos de almacenamiento, con funcionamiento en modo RAID 0, 1 y 2. Así podríamos tener automáticamente una copia idéntica del contenido del disco principal en otro, con lo que no perderíamos los datos en caso de accidente. Por unos 30 euros más merece la pena (los fanáticos del video digital también les sacan partido, si lo configuran de modo que la velocidad de acceso a los datos se incremente apreciablemente).
RAID 2.... es inviable, es muy muy raro encontrar una controladora que permita este tipo de RAID en ámbito doméstico. Lo típico es RAID 0, 1, 0+1 y dos discos duros idénticos. Además tales placas suelen venir con el añadido de conexiones IEEE 1394 "Firewire", con lo que se ahorra la compra de una tarjeta para conectar la cámara de video (unos 60€). Con ese dinero ahorrado y la compra de un procesador AMD en vez de un INTEL podremos tener un monitor CRT (en imagen se huye de los TFTs) más grande y de mejor calidad, que nos será siendo útil más adelante.
Wolffete: "Sí, una controladora es barata, inclusive la mayoría de placas base actuales ofrecen llevarla integrada en sus versiones "de luxe", pero lo costoso en estos casos es el soporte físico de almacenamiento, es decir, los HDs.
A mi modesto entender, el mejor backup para un usuario casero es un HD extraíble y conectarlo sólo en el momento de realizar la copia (para evitar su afectación en caso de infección o compromiso del equipo). Aunque no es frecuente en las placas bases normales por sus canales IDE, muchas de las controladoras RAID que veo soportan el hotswap. Otra opción serían los modernos HDs conectados por firewire o USB 2 (USB 1 haría el proceso de transferencia aun más lento); la pega es que estos dispositivos aún salen algo caros."
La mayoría de controladores actuales permiten RAID-1 (espejo) entre discos que no sean idénticos; pero las particiones han de tener el mismo tamaño.
Copias imagen de las particiones con sistema
¿Y la partición donde está instalado el SO? Si hemos tenido la precaución de particionar los gigantescos discos actuales (no tan grandes si se almacena video digital -devorador de GBs-) lo mejor será crear copias imagen, a ser posible desde fuera del Windows, para evitarnos sorpresas desagradables. Es decir, arrancando desde disquete o CD, instalando DOS, FREEDOS o un miniLINUX en memoria. Contamos de una gran utilidad gratuita: PARTITION SAVER 2.80. Así, en caso de desastre, en pocos minutos volveremos a una instalación anterior.
Recordemos que las grabadores se pensaron para las copias de seguridad, no sólo para juegos, música y videos!
Sí, es cierto que hemos de emplear un tiempo para intentar implementar una mínima política de seguridad, pero seguro que nos reducirá nuestra exposición a los riesgos inherentes a la compartición de datos.
Otros consejos
En la medida de lo posible, evitemos el uso del INTERNET EXPLORER para las operaciones financieras, ya que su implementación del cifrado de 128 bits es más que discutible (debilitada expresamente). Que no, ni el nefasto nefasto nefasto OUTLOOK ni INTERNET EXPLORER.
No olvidemos tampoco la información adicional que incorporan los *.DOC del WORD del OFFICE, tan conocido desde hace muchos años (motivo de la detención en 1999 del creador del Melissa). O que el sistema de ficheros NTFS guarda datos aunque procedamos a su borrado "seguro". Para documentos confidenciales lo mejor es recurrir a particiones FAT (FAT32 a ser posible). O si no, tendremos que acudir a utilidades para el BORRADO SEGURO "de verdad", como el gratuito ERASER.
Si nos deshacemos de un HD antiguo, asegurémonos de que no contenga datos confidenciales. Lo mejor será borrarlos desde disquete/CD autoarrancable: Darik's Boot and Nuke ("DBAN"), gratuito, y por ahora en inglés. También implementado el DBAN en el ERASER.
Para deshacernos del spyware: Ad-Aware y SpyBot (que preferimos). Como son gratuitos, instalemos los dos. Desde el SPYBOT inmunicemos al INTERNET EXPLORER (ya son más de 500 inmunizaciones!!!) y ...
Y no olvidemos de inhabilitar o desinstalar el Windows Scripting Host WSH. NORTON, sí la misma, dispone de una utilidad gratuita para ello: noscript.exe.
Los correos veámoslos por defecto en MODO TEXTO. El "rechuli" INCREDIMAIL utiliza el motor del IE para el correo HTML, como el mismo OUTLOOK, así que es igualmente inseguro. Recordemos que no es necesario abrir el correo recibido por el OUTLOOK para que nos infectemos. Que no, cambiemos de gestor, o al menos configurémoslo como aconsejan en VSAntivirus.
Para redes, debiéramos instalar un Sistema de Detección de Intrusos (IDS). El más conocido y muy potente es el SNORT, multiplataforma, que tanto le gusta a alfon, quien ha escrito manuales al respecto.
Hemos de conocer qué procesos están corriendo en nuestro sistema. PrcView 3.7.2.1 y Process Explorer 8.10 (traducido por Senpai) son gratuitos. Algunos bichos no son visibles desde la Administración de Tareas, así que nuevamente hemos de recurrir a herramientas externas.
Y tantas otras cosas que dejo en el tintero, como las comunicaciones inalámbricas y su inseguridad actual, incluyendo al violentado Bluetooth, que ha originado un nuevo término: bluehacking. Por ejemplo, muy fácilmente podemos enviar correos anónimos y spam a un usuario vecino, futura fuente de "bromas pesadas" en las oficinas. Si sólo fuera eso ...
No, nos vamos a aburrir en este nuevo año 2004, que promete ser muy "entretenido", con más noticias de la implementación del TCPA "Palladium" de MICROSOFT y otros, que con la excusa de la seguridad pretenden tomar el control de nuestras máquinas, incluido el hardware, nueva BIOS mediante
http://nautopia.coolfreepages.com/enlaces_libertades.htm
Esta es la fotografía a primeros del 2004, que no tiene porqué ser la misma dentro de unos meses (en Julio sería buen momento para revisar este artículo). La foto siempre se está moviendo, lo que hoy es válido no tiene porqué serlo mañana.
En seguridad la búsqueda de la excelencia ha de ser nuestra guía, algo que está reñido con el conformismo, la comodidad y la ley del mínimo esfuerzo (práctica cada vez más extendida).
INTERNET va a estar siempre en nuestras vidas, nos guste o no, así que dediquemos un tiempo en aprender al respecto ¿O hemos de esperar a escarmentar en carne propia? Si la red es fuente de conocimiento, utilicémosla. La información está al alcance de todos, mas ha de buscarse, leer y pensar (actividades en desuso).
Especial: Seguridad para redes y equipos caseros
Consejos sobre seguridad para redes y equipos caseros
http://www.vsantivirus.com/especial-seguridad2004a.htm
Consejos para administradores de redes (Por Saulo Barajas)
http://www.vsantivirus.com/especial-seguridad2004b.htm
Consejos para usuarios domésticos (Por Maty y compañía)
http://www.vsantivirus.com/especial-seguridad2004c.htm
Artículos complementarios
Guía de supervivencia: Consejos para una computación segura
http://www.vsantivirus.com/guia-de-supervivencia.htm
Proxomitron. Una protección imprescindible para navegar
http://www.vsantivirus.com/proxomitron.htm
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Windows XP: sobrevivir al primer día
http://www.vsantivirus.com/wxp-primer-dia.htm
Parásitos en nuestra computadora
http://www.vsantivirus.com/ev-parasitos.htm
Bloqueo de adjuntos en Outlook Express. ¡Déjelo así!
http://www.vsantivirus.com/adjuntos-oe6.htm
Cuestionario sobre seguridad para el usuario doméstico
http://www.vsantivirus.com/faq-seguridad-hogar.htm
Guía rápida para el blindaje de su PC
http://www.vsantivirus.com/mr-blindaje.htm
Cómo acabar con el SPAM de una vez por todas... o casi
http://www.vsantivirus.com/filtrosbayes.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|