Gotardo González

Anoto por aquí un par de aplicaciones de seguridad e integridad de datos para móviles con Android:

LookOut: Esta aplicación para Android, Windows Mobile y Blackberry integra un scanner de spyware y malware y realiza copias de seguridad del teléfono en la nube. En su versión premium añade una función que, en caso de robo, permite bloquear e incluso borrar el contenido del teléfono. Un detalle interesante de la app es que se puede configurar totalmente desde la interfaz web.

TheftAware: Es muy similar a LookOut pero tiene alguna función más que la hace bastante atractiva. Es capaz de activar de forma automática la geoposición por GPS, ocultando el indicador para el ladrón no se de cuenta de que está siendo localizado. Pero lo más atractivo es que puedes configurar los avisos vía SMS. La función de borrado puede ser utilizada incluso con la tarjeta de memoria bloqueada para una conexión por USB.

La inyección de código en Twitter

A la hora de escribir esto, “Twitter got hacked” es trending topic y algunos me han preguntado qué pasa exactamente en Twitter. Vamos a explicarlo a grandes rasgos.

A media mañana, ha aparecido @RainbowTwtr, un usuario capaz de convertir su timeline en franjas de colores mediante inyecciones de código CSS (el código que utilizamos los desarrolladores para definir el aspecto gráfico de una web). Algunos hemos estado probando estos códigos, jugando a poner cosas de colores en el timeline, incluso los amigos de CSS Barcelona han conseguido poneer una imagencita muy graciosa de Chuck Norris (era complicado hacerlo sólo en los 140 caracteres de Twitter).

Hasta aquí la parte amable de esta incidencia que, pese a oler a chamusquina, al principio parecía divertida.

Lo malo ha sido cuando esas inyecciones inocuas de código CSS (sólo afecta al diseño de la web) se han convertido en inyecciones de JavaScript (el lenguaje que utilizamos los desarrolladores web para definir procesos en el ordenador de los navegantes). Esto permitía que cualquier acción del usuario, por pequeña que fuera, disparara un proceso en JavaScript capaz de lanzar un retwitt: un twitt podía retwittearse a sí mismo a través de los timelines de miles de usuarios.

140 caracteres parece poco para un procedimiento, pero teniendo en cuenta que Twitter utiliza JQuery el código se convertía en algo sencillísimo. Un usario llamado @Matsa, cuya cuenta ya ha sido suspendida, lo ha hecho utilizando este código:

http://t.co/@”onmouseover=”document.getElementById(‘status’).value=’RT Matsta’;$(‘.status-update-form’).submit();”class=”modal-overlay”/

Teniendo en cuenta que Twitter se caracteriza por la inmediatez con la que se transmite la información de unos usuarios a otros y que este tipo de twitts no requerían una acción voluntaria del usuario, la rapidez con la que se podía transferir era tremenda. Si a eso añadimos que mediante inyecciones de código javascript podemos llamar a procedimientos alojados en otras páginas web, la posibilidad de ejecutar código malicioso en las máquinas de los usuarios de Twitter ha sido tremenda.

La vulnerabilidad parece que no ha llegado a ser explotada de una forma peligrosa (al menos yo no tengo aún noticia de ello). A estas horas la falla ya ha sido corregida.

WordPress ha abarcado buena parte del mercado de los CMS porque goza de una gran flexibilidad que permite una personalización exacta de cara al usuario final. Gracias a esto, combinado con su sencillez de instalación y configuración, se ha logrado que cualquier persona pueda montar en pocos minutos su propia web, ya sea blog o no, y sin contar con conocimientos técnicos. Esto puede dar lugar a que descuidemos nuesta instalación de WordPress, así que vamos a notar varios consejos básicos para empezar a cumplir con el primer requisito que debe tener un sistema informático: la seguridad. No pretendo este ser la panacea contra los ataques ni la solución a todas las vulnerabilidades, pero esta lista seguro que ayuda mejorar la seguridad en WordPress de buena parte de los usuarios que lo administran.

1. No utilices wp_ como prefijo de las tablas de la base de datos de WordPress, puedes cambiarlo realizar tu instalación de WordPress.

2. El fichero wp-config.php no debe tener permisos de escritura (644)

3. Elimina todos los ficheros de instalación, configuración, y exportación.

4. Que el superusuario no se llame ‘admin’, de esta forma impediremos el uso de la fuerza bruta para avierguar la contraseña de ‘admin’. Este problema se soluciona en WordPress 3, ya que el usuario escoje el nombre del administrador del sistema, pero si aún trabajas con una versión anterior quizás quieras probar Admin Renamer Extended.

5. Echa un vistazo a lo que WP Security Scan tenga que decirte. Se trata de un plugin que comprueba la configuración del sistema para detectar vulnerabilidades.

6. Escanea tu sitio con el plugin WP Exploit Scanner, te ayudará a localizar posibles exploits de tus themes y plugins.

7. Oculta tu versión de WordPress utilizando el plugin Replace WP Version.

8. Desactiva y desinstala todos los plugins que no estés utilizando.

Si crees que se te quedan cortos estos consejos de seguridad, quizás quieras echar un vistazo a los consejos de seguridad de WordPress de SigT, muy interesantes aunque quizás requieran de conocmientos algo más avanzados.

Además de estos diez consejos, si sabes utilizar ficheros de configuración .htaccess, quizás quieras restringir el acceso a wp-content y wp-includes con un fichero que contenga unas líneas como estas, tal y como nos recomienda anieto2k:

Order Allow,Deny
Deny from all
<Files ~ ".(css|jpe?g|png|gif|js)$">
 Allow from all
</Files>

Y por supuesto, si administras WordPress desde VPN o LAN, no dejes de seguir el consejo de SBD: restringir el acceso a nivel de servidor:

<Location /wordpress/wp-admin/>
Order deny,allow
Allow from 192.168.1.27
Deny from All
</Location>