lunes, 27 de diciembre de 2004

Tome precauciones: Establezca medidas de seguridad

Si usted todavía no se ha pasado por la sección de seguridad de la Asociación de Internautas, debería hacerlo. Y quizá debería pasarse también por la web de la campaña de seguridad en la red, si es que se haya activa en el momento en que lea usted esto, o por el centro de alerta antivirus de red.es (extrañamente, red.es no hace referencia al site de la campaña de seguridad, que supuestamente está financiado por esa organización).

En cualquier caso, hay una serie de medidas que usted debería tomar:

  1. Actualice su sistema operativo, instalando las últimas actualizaciones de seguridad. Para usuarios de windows, eso significa hacer click en el icono de windows update. Active la notificación automática de actualizaciones. Los usuarios de Linux suelen tener el servicio configurado automáticamente.

  2. Instale un antivirus (¡incluso si usa linux o mac!). Hay muchos gratuitos. Puede ver una lista en las páginas referenciadas en la introducción de este artículo. Si dispone de una versión servidor de Windows, el único antivirus gratuito que conozco que funcione es Clam (pero si tiene un servidor, creo que merece la pena que pague).

  3. Instale un cortafuegos (firewall), o un bloqueador de puertos. Si usa Linux, asegúrese de no tener instalado un servidor FTP ni un servidor Telnet, a menos que realmente sepa para qué se usan. Use servidores seguros, en su lugar. Si usa BeOS... mejor no instale FTP: compartirá todo su disco duro.

  4. Instale un bloqueador de Spyware. En las páginas que he referenciado hay muchos, como Spybot S&D.

  5. Configure medidas de seguridad en su navegador. No necesita instalar software adicional: simplemente, métase en la configuración de su navegador y dígale que quiere que le pregunte antes de descargar controles ActiveX, instalar componentes en el escritorio o ejecutar archivos en IFRAME. Se ahorrará muchos problemas (aunque se ahorraría más cambiando de Explorer a Firefox).

  6. Configure medidas de seguridad en su lector de correo, especialmente si se trata de Outlook Express. Una buena medida es establecer el nivel de seguridad a "alto". Ello le impedirá ver algunos emails promocionales con animaciones, pero también dificultará la acción de los virus.

  7. Si usa Windows, Configure medidas de seguridad en el explorador de archivos. En el submenú "opciones de carpeta" que aparece en el menú "Ver" o "Herramientas", según la versión, vaya a la solapa "ver" y DESACTIVE la opción "ocultar extensiones para los tipos conocidos de archivo". Así ningún virus podrá burlarle enviándole un archivo llamado "Documento.doc.exe"

  8. Si usa un Windows profesional (NT, 2000, XP pro, 2003), conviene que deshabilite la cuenta "invitado", si es que existe. Una característica de los servidores Windows es la existencia de un recurso compartido llamado IPC$ al que pueden acceder todos los programas, incluso los ejecutados por el invitado (si es que este existe). Los hackers han diseñado numerosos programas para obtener información crítica de un sistema mediante esa característica. También conviene que ejecute CMD.EXE y escriba NET CONFIG SERVER /HIDDEN:YES para ocultar el nombre y las listas de usuarios y recursos compartidos de su ordenador.

  9. Si usa Windows profesional o Linux, asegúrese de crear un usuario no privilegiado y utilizar ese usuario en lugar del administrador (o root), a menos que desee instalar programas. Cuando un virus accede al sistema desde un usuario no privilegiado, los daños suelen ser menores. Si el ordenador lo van a usar sus hijos, ¡no les de la contraseña de administrador!

  10. Si usa programas de descarga Peer-To-Peer (emule, kazaa, gnutella, bittorrent...), compruebe qué directorios está compartiendo. Creo recordar que fue en Japón donde un hacker consiguió datos militares clasificados porque alguien había instalado un programa peer-to-peer y lo había configurado de manera que compartiera todo el disco duro.

  11. Esto también se aplica si usted instala servidores FTP o una red... Compartir C:\ no suele ser una buena idea (aunque en realidad usted lo está compartiendo: pruebe a conectarse a \\nombre_de_su_ordenador\C$). Tampoco lo es hacer que el /etc del ftp coincida con la carpeta /etc de un sistema linux.

  12. Cuidado con las redes WI-FI. Establezca una contraseña DISTINTA de la contraseña por defecto, pues en caso contrario cualquier persona puede acceder a su router wi-fi y cambiar la configuración. Procure usar encriptación y restrinja qué tarjetas de red se pueden conectar.


Esas son algunas pocas de las muchas medidas que hay que tomar. Procuraré detallarlas en artículos posteriores. Si queréis una lista más corta, mirad la que aparece en la campaña de seguridad en la red

2 comentarios:

DrQbikus dijo...

Estoy de acuerdo en prácticamente todo lo que dices, aunque yo añadiría algunas cosas.

La primera, es que siempre hay que tener en cuenta que hoy en día la seguridad de un sistema basado en Windows es simplemente aparente. ¿Por qué? Simplemente porque no hay manera de saber si hay fisuras o agujeros de seguridad hasta que han sido explotados, dado que es un sistema propietario y privativo (código cerrado y con prohibición de análisis).

No sólo esto, sino que la experiencia nos está demostrando que Windows es uno de los sistemas más inseguros que existen hoy en día. Allá cada cual.

Algunos comentarios a los puntos de tu post:

1) Con Windows, aumentará su falsa sensación de seguridad con las actualizaciones. Con Linux actualizará paquetes de software que posiblemente solucionen bugs, pero que generalmente no afectan a la totalidad del sistema, como en Windows. Es la separación del espacio de usuario/sistema que con Windows aún parece que es un gran problema.

2) Más de lo mismo. Con Linux puede que haya virus, pero no afectan a todo el sistema, sino al usuario que los ejecuta voluntariamente, y esto limita su capacidad de operación. Me sorprende mucho que en sistemas modernos aún existan virus :-?

3) Sí, pero no se fíe. En Windows probablemente el gobierno de EEUU haya habilitado puertas traseras, y en hardware de Cisco está confirmado que esto es así, y seguramente en otro hardware de red también.

4) Totalmente de acuerdo. Y por favor... leed la licencia, zoquetes.

5) Olvide Explorer, no sea cretino.

6) Outlook es un coladero de virus, tenga un poco de sentido común.

8) Y si no necesita compartir nada en su inseguro sistema Windows, al menos elimine los protocolos que lo habilitan.

9) Cree a sus hijos una cuenta de usuario normal en GNU/Linux y despreocúpese de lo que le pueda ocurrir al sistema, porque es seguro.

12) Según me han contado, ahora Telefónica envía un vídeo con un ejemplo de configuración del router, y todo el mundo usa la misma clave. Poco inteligente por ambas partes.
Siempre hay que utilizar encriptación, y con claves de como mínimo 128 bits (64 bits pueden ser descubiertas rápidamente, a veces).

josemoya dijo...

DrQbikus dijo:
No sólo esto, sino que la experiencia nos está demostrando que Windows es uno de los sistemas más inseguros que existen hoy en día. Allá cada cual.El código abierto tampoco ofrece demasiadas garantías, porque son pocos los que se dedican a analizarlo (porque no resulta tan divertido cuando es legal ;). Por eso, ha habido quienes han colado troyanos en clásicos del opensource como sendmail (visita su web para verlo). Recuerda que la palabra "puerta de atrás" la inventó Kevin, el creador del lenguaje C y de Unix, porque colocó una en el sistema... sin que AT&T y las diversas universidades que poseían el código fuente se dieran cuenta de ello (creo haberlo mencionado en un post).
1) [...] Es la separación del espacio de usuario/sistema que con Windows aún parece que es un gran problema.
No estoy seguro, un troyano bien colocado en un programa que se ejecute con SUID root o en la instalación (como ocurría con sendmail y la "puerta de atrás" de Kevin) puede afectar al espacio del sistema. Y un exploit basado en desbordamiento también puede afectarle, con un poco de suerte. ¿Has jugado al juego de quiz.ngsec.com?
En general, si en Linux, MacOs o incluso el inseguro pero bellísimo BeOS no hay virus, es porque no hay desarrolladores suficientes, no porque no haya agujeros. Sobre un virus para MacOs X que usa exactamente los mismos agujeros que los virus de MacOS 6 puedes hacer una búsqueda en mi blog.

6) Outlook es un coladero de virus, tenga un poco de sentido común. Pero de sus alternativas, no he visto ninguna que gestione bien los grupos de noticias leídos mediante dial-up. Menos mal que, con un ADSL, puedo usar ThunderBird.

8) Y si no necesita compartir nada en su inseguro sistema Windows, al menos elimine los protocolos que lo habilitan.Estuve por decirlo, pero como había mencionado lo del firewall... ten en cuenta que nunca se sabe cuándo se va a querer compartir algo.

12) Según me han contado, ahora Telefónica envía un vídeo con un ejemplo de configuración del router, y todo el mundo usa la misma clave. Poco inteligente por ambas partes.Pues yo ejecuté el programa de ayuda y te OBLIGABA a introducir una clave. Uno de mis vecinos ha puesto su nombre al SSID de su wireless (cojo 4 redes visibles desde mi piso; la mía es una red oculta), así que supongo que habrá sido suficientemente inteligente como para poner una contraseña propia (¡y que no equivalga al SSID!).