So long, and thanks for all the XP, Windows

El clásico fondo "star wars: episode I" del Windows XP

El clásico fondo “star wars: episode I” del Windows XP

Hoy 8 de abril de 2014, oficialmente y si no pagas más por un soporte extendido, Windows XP pasa a mejor vida, aunque, para desgracia de muchos, siga siendo el sistema operativo de escritorio que se encuentren al llegar al trabajo o al encender el ordenador de casa.

Y es que a día de hoy Windows XP no está preparado para aguantar todo el malware que circula por Internet. Si a esto le añadimos que los fabricantes de software, no ya sólo Microsoft, sino Oracle con su Java, Adobe con su Flash, o cualquier otro que desarrolle software comúnmente usado en PCs de escritorio, van a ir dejando -si no lo han hecho ya- de sacar versiones actualizadas de sus productos para Windows XP, la probabilidad de que te lleves una sorpresa en forma de malware con tu Windows XP tiende a 1.

Si bien las mafias especializadas en Internet se van a poner las botas, los desarrolladores de soluciones de seguridad, antivirus, cortafuegos y demás productos van a mejorar sus cuentas de resultados, porque, por algún oscuro motivo, las empresas, gobiernos, y particulares, prefieren gastarse millonadas en desinfectante en vez de cortar el problema en su origen y se quedan en Windows XP.

Sinceramente, cualquier CIO que decida no migrar a día de hoy de Windows XP a un 7 o-lo-que-venga o probar con otros sistemas operativos, debería ser despedido. Fulminantemente. Y no vale la excusa de “que nos ha pillado el toro”, o “hay que renovar todo el parque informático”, o “la aplicación ultra-crítica-de-negocio no soporta otra cosa que no sea Internet Explorer 6”. Porque el propio fabricante lleva avisando años del “migra o muere”, porque a día de hoy los costes de un ordenador -sin teclado, ni monitor- es ridículo, y porque no deberías tener una aplicación crítica de negocio tan dependiente de una tecnología que además caduca.

A disfrutar del próximo zero-day...que (posiblemente) nunca sea parcheado en Windows XP. Al negocio de la seguridad esto le viene siempre muy bien.

 

Se acabaron las palomas mensajeras para Defensa

Paloma Mensajera vintage edition

Paloma Mensajera vintage edition

¡Noticia de alcance oiga! Hoy han derogado el Real Decreto 2571/1983 por el que se regula el uso de palomas mensajeras para la Defensa Nacional. Cosas veredes, amigo Sancho. A partir de hoy, todos los aficionados a las artes de la colombofilia (y no piensen en cosas relacionadas con temas eclesiásticos) ya no tendrán que someter sus palomares al registro y autorización por interés para la Defensa Nacional de sus queridos pájaros.

Por lo que se ve, las nuevas tecnologías de los sistemas de telecomunicaciones e información cubren eficazmente todas las necesidades de enlace de la Defensa Nacional, lo que ha originado que la posible utilización de las palomas mensajeras como medio de transmisión haya dejado de tener interés para la Defensa Nacional.

Y yo me pregunto, si se nos caen los servicios de comunicaciones en una crisis, ¿qué vamos a hacer sin las palomas mensajeras? ¡Esto se hunde…!

Más en el BOD del 11 de marzo de 2010.

Un paso más hacia la Internet Soviética

Al final ayer lunes se acabó aprobando las llamadas “enmiendas torpedo” en el comité para el Mercado Interno y la Protección al Consumidor (IMCO) que van a permitir que nuestros queridos Estados autoricen a las innombrables y todopoderosas a que nos espíen un poquito más y de paso nos capen a discreción las conexiones de banda ancha. Se ve que el IMCO está muy preocupado por el descenso debido a la crisis-digo-antipatriota-desaceleración-económica de la venta de vehículos de lujo y artículos con el 16% de IVA de escasa primera necesidad que por todos es bien sabido hacen las veces de musa y fuente de inspiración de estos nuestros artístas patrios de la talla del de la fritanga avícola.

De pasada rápida por las actas y resultados del cónclave de eurodiputados de este lunes, te puedes encontrar con varias perlas de enmiendas que están tan bien redactadas que parecen muy inocentes y lo hacen en el fondo por el bien de los ciudadanos, ya saben, los idiotas que vamos a meter papelitos en papeleras transparentes con variopintos nombres cada cierto tiempo.

Continue reading

La última burrada contra la libertad de la Red se decide mañana

Vía el tío Rinze y El Teleoperador me entero con bastante preocupación de la última que nos quieren clavar mañana lunes 7 de julio en aras de la protección de los más pequeños de la casa y de la calidad creativa de los Reyes de la fritanga del Pollo del mundo esas gentes que se dicen Eurodiputados y se les supone representantes nuestros.

Your failed business model is not my problem

En resumen y utilizando esquivas técnicas de enmiendas en distintos comités de los órganos europeos, pretenden aprobar una serie de medidas que básicamente permitirían obligar al uso de software spyware en nuestros ordenadores conectados a la red para verificar que no se transfiere contenido ilegal, lo que en la práctica se llama capar todo tráfico p2p. O lo que es lo mismo, pérdida absoluta de la privacidad y monitorización completa de tu ordenador y tus comunicaciones.

Continue reading

Cómo identificar claves privadas generadas por openSSL comprometidas

La gente de Ubuntu ha sacado un paquete llamado openssl-blacklist disponible como instalable desde sus repositorios de software que permite verificar si las claves privadas que tengamos generadas con openSSL están comprometidas o no por el fallo de implementación del generador de números aleatorios del paquete openssl distribuido por Debian y derivados.

Se instala directamente con apt, aptitude, synaptic o con dpkg y descargando el paquete:

sudo apt-get update && sudo apt-get install openssl-blacklist

Su uso es muy sencillo, bastará con ejecutar el comando openssl-vulnkey. Toma como parámetros de entrada los ficheros con las claves privadas en formato PEM.

sudo openssl-vulnkey /etc/apache2/ssl/apache.test.pem
COMPROMISED: 9c4d589707a08ed65508032b41a999a810173592 /etc/apache2/ssl/apache.test.pem

Lo que no me queda muy claro es qué pasa cuando tiene una “validez desconocida”…

sudo openssl-vulnkey /etc/apache2/ssl/apache-ssl-key.pem
Key has unknown validity: /etc/apache2/ssl/apache-ssl-key.pem

Este pequeño comando complementa estupendamente al ssh-vulnkey que verifica en el formato con el que almacena las claves openSSH si alguna de las claves del servidor o los clietnes SSH está comprometida.

Para instalar el paquete en Debian, por ahora se puede descargar directamente desde http://xillion.org/openssl-blacklist/ el paquete y sus firmas digitales para verficarlo.

Bloqueando ataques continuos con fail2ban y denyhosts

Una de las cosas que uno puede hacer con su conexión a Internet es montarse un servidor de acceso remoto para conectarse a casa desde cualquier parte del mundo IP. Sin embargo, abrir servicios a Internet expone a tu equipo a las inclemencias propias de la red como son ataques remotos. Salvo errores muy críticos en los programas que se ejecutan, y manteniendo el equipo actualizado, llegar a colarse en tu máquina por un exploit es difícil, pero eso no quita que a diario puedas recibir continuos intentos de acceso no autorizados, sobre todo desde máquinas zombies de una botnet.

Esto es justo lo que le pasa a mi servidor SSH, cuyos registros de acceso fallidos están rebosando de intentos:

Apr 23 02:20:52 teroknor sshd[31336]: Invalid user noah from 217.126.56.236
Apr 23 02:20:52 teroknor sshd[31336]: pam_unix(ssh:auth): check pass; user unknown
Apr 23 02:20:52 teroknor sshd[31336]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=236.red-217-126-56.staticip.rima-tde.net
Apr 23 02:20:54 teroknor sshd[31336]: Failed password for invalid user noah from 217.126.56.236 port 17228 ssh2
Apr 23 02:20:56 teroknor sshd[31339]: Invalid user joseph from 217.126.56.236
Apr 23 02:20:56 teroknor sshd[31339]: pam_unix(ssh:auth): check pass; user unknown
Apr 23 02:20:56 teroknor sshd[31339]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=236.red-217-126-56.staticip.rima-tde.net

Una solución muy fácil de instalar en el equipo es un sistema de prevención de intrusión o HIPS basado en analizar periódicamente los registros de acceso con dos programas: denyhosts y fail2ban.

Continue reading

Nuevas normativas de (¿in?)seguridad aérea

Creo que a este paso vamos a acabar subiendo a un avión de esta guisa con tanta normativa paranoica.

Seguridad aérea

Fotografía de CastaWaysTravels

Si a eso le añadimos el cachondeo que la semana pasada se montó con una página que te ofrecía -ahora ha sido eliminado, tras una visitilla del FBI– un servicio para generar tarjetas de embarque falsas para pasar el primer control de los aeropuertos americanos, pues uno se llega a preguntar si todo esto llega a ser efectivo, o es para meter miedo en el cuerpo, o simplemente una conspiración de las tiendas de los aeropuertos para que, como ahora habrá que llegar con un día de antelación para que verifiquen al más puro estilo CSI con la lamparita de luz negra si eso que llevas es champú al té verde o marranadas del Quimicefa, se sacan sus leuros a base de vender sudokus y sándwiches.

¿Se podrá subir ácido bórico? Lo digo porque yo no salgo de viaje sin mi Fungusol.