Archive for Apache

marzo 17th 2017

QRLJacking, robando sesiones de WhatsApp a través del código QR

Número de lecturas: 2208
{lang: 'es-419'}

WhatsApp es el cliente de mensajería instantánea más utilizado en todo el mundo, lo que hace que también sea una de las aplicaciones más atacadas por los piratas informáticos. Aunque en el pasado hackear WhatsApp era realmente sencillo debido a la inexistencia del cifrado ni de medidas de seguridad, hoy en día esta tarea se ha complicado notablemente debido a las nuevas medidas de seguridad implementadas en esta aplicación. Sin embargo, aún tiene serias debilidades que pueden suponer un peligro para los usuarios, como, por ejemplo, el uso de códigos QR para el inicio de sesión en su aplicación Web.

El pasado mes de enero explicamos cómo los piratas informáticos pueden hackear WhatsApp aprovechándose de un fallo en la generación de los códigos QR que podía permitir a un atacante hacerse con el código de otra persona, iniciar sesión con sus credenciales y poder leer los mensajes de WhatsApp sin dejar rastro de actividad.

Esta técnica, aunque preocupante, es bastante complicada de llevar a cabo y tiene muchas limitaciones a la hora de ponerla en práctica, como, por ejemplo, que solo un usuario puede utilizar WhatsApp Web a la vez (por lo que, si la otra persona lo intenta usar, nos echará de la sesión a nosotros) y que los ordenadores “de confianza” siempre se muestran en el cliente de mensajería.

Aunque esta técnica es bastante complicada de llevar a la práctica, no es la única que se aprovecha de los códigos QR para hackear WhatsApp, y un ejemplo de ello es QRLJacking.

Así funciona QRLJacking, la técnica para hackear WhatsApp utilizando un solo código QR

QRLJacking es un sencillo vector de ataque informático basado, principalmente, en la ingeniería social con el que simplemente debemos engañar a un usuario para que escanee un código QR con la aplicación que deseamos hackear, por ejemplo, WhatsApp, para poder tomar el control de su sesión de forma remota.

Para llevar a cabo este ataque, lo único que necesitamos es acceder al repositorio oficial de QRLJacking y descargar lo necesario para ponerlo en funcionamiento. A continuación, montaremos un servidor web con el fichero “qrHandler.php” encargado de convertir el código de inicio de sesión a base64 y, posteriormente, en una imagen jpg y “phishing.html”, la página que utilizaremos para llevar a cabo el ataque.

Una vez que el servidor está en funcionamiento, necesitaremos un navegador web como Firefox capaz de inyectar el script “WhatsAppQRJackingModule.js” al visitar una web como “https://web.whatsapp.com”. Cuando esta web genera el código QR, el script lo envía al servidor que hayamos configurado en el paso anterior para suplantarlo con el código QR generado por el fichero PHP.

Código QR WhatsApp Falso

Si la víctima cae en este tipo de engaño, el atacante recibe la sesión de WhatsApp en su navegador web. Es decir, en el mismo sitio dónde el plugin de Firefox está inyectando el código JS para capturar el QR Code original de WhatsApp.

Cuando la víctima escanea dicho código (utilizando ingeniería social, por ejemplo, con que nos ha tocado un premio), ya tendremos el control sobre la sesión de WhatsApp de la víctima.

Además de WhatsApp, esta técnica es totalmente funcional con otras muchas aplicaciones y plataformas que basan su inicio de sesión en códigos QR, como AirDroid, Alibaba, Aliexpress, WeChat, Line y Yandex, entre otras.

decir que existe otro vector que el ataque de Man in the Middle en una red de área local. Con este ataque un atacante podría lograr inyectar el QR Code en páginas legítimas, realizando un ataque, quizás, más real. Sea como sea, interesante prueba de concepto que nos ayuda a ver lo fácil que puede ser, en algunas ocasiones, que caigamos ante las múltiples amenazas que tiene Internet. La ingeniería social sigue avanzando y mejorando ante las nuevas tecnologías que van apareciendo, por lo que la concienciación y el buen uso de éstas es algo vital para estar un poco más seguro en la red.

Cómo protegernos del QRLJacking

Como podemos ver, el principal factor de esta técnica de hacking es la ingeniería social, es decir, el engaño. Nadie regala nada a través de Internet, por lo que lo primero que debemos hacer es evitar caer en este tipo de engaños, y mucho menos escaneando código QR de webs o fuentes extrañas, como un banner, con WhatsApp o cualquier otra aplicación.

Además, también debemos evitar iniciar sesión con nuestras cuentas en navegadores y ordenadores que no sean de total confianza, ya que sin la previa instalación e inyección del script JavaScript, esta técnica no podría ser posible.

Por último, en el caso concreto de WhatsApp, nunca está de más revisar los ordenadores que tienen acceso a su aplicación Web, eliminando el permiso a todos de vez en cuando para evitar estos problemas.

————————————————–

Fuente:

redeszone.net

Más información:

http://www.flu-project.com/2017/03/qrljacking-tecnica-con-la-que-los-malos.html

https://github.com/OWASP/QRLJacking/wiki

 

agosto 22nd 2016

Cómo Instalar Magento (tienda el línea)

Número de lecturas: 3171
{lang: 'es-419'}

En nuestros post anteriores hemos estado hablando mucho sobre tiendas online, pero siempre enfocándonos en PrestaShop. Ahora bien, como todos sabemos, éste no es el único CMS que encontramos disponible, también podemos acudir a Magento. Y de hecho, no es para nada una mala opción, Magento es un increíble CMS orientado al comercio online que sin duda te brindará una muy buena plataforma. Es por ello mismo, que hoy nos enfocaremos en él y te mostraremos cómo instalar Magento.

Cómo Instalar Magento de forma fácil y rápida
Los pasos para instalar un CMS tal como Magento, son en realidad muy fáciles. Éstos, básicamente constan de 3 pasos, subir los archivos, crear la base de datos y seguir los pasos que nos pedirá el instalador. Como vemos, es algo sumamente sencillo y en poco más de unos minutos tendrás tu tienda en pie y podrás comenzar a trabajar en ella sin problemas.

Pasos para instalar Magento
El primer paso que debemos seguir para poder instalar este CMS, es descargarlo de la web oficial de Magento. Para lo cual, será primeramente necesario que nos registremos en el sitio, luego de estar registrados y logueados podremos sin más descargar el CMS.

Luego de hemos descargado Magento, ya podemos comenzar con la configuración e instalación de éste. Igualmente, para ello, tenemos dos posibles formas de llevarlo a cabo. La primera de ellas, es subiendo los archivos vía el Administrador de Archivos de cPane, aunque será solamente efectiva en el caso de que nuestro servidor corra cPanel. De lo contrario debemos utilizar nuestro cliente de FTP, y por allí subir los archivos.

Subiendo el paquete de Magento al servidor
Opción con cPanel
Ingresamos al cPanel de nuestro dominio, normalmente podemos utilizar dominio.com/cpanel

Luego de ello, accedemos a la sección Files > File Manager para poder subir los archivos desde allí. Al acceder a dicha sección, se nos abrirá un panel en el que debemos seleccionar la opción Upload.

Subimos el archivo y lo descomprimimos dentro del directorio que deseamos se encuentre el CMS.

Opción a través de FTP
La otra opción que tenemos es subiendo los archivos por FTP, para ello simplemente accedemos a nuestro cliente FTP y subimos los archivos que hemos descargado al directorio correspondiente.

Para esto, podemos utilizar un cliente como por ejemplo, FileZilla o Cyberduck. Si no sabes como utilizar un cliente de FTP para subir tus archivos, puedes guiarte por este tutorial: ¿Qué es el FTP y cómo se usa?.

Base de datos
Una vez que contamos ya con los archivos en nuestro servidor, es hora de pasar a la base de datos. La cual sin duda es necesaria para poder instalar nuestro CMS correctamente, además es quien después de todo, contendrá toda la información de nuestro sitio.

Para crear la base de datos desde cPanel, simplemente vamos a la sección Databases y creamos allí la base de datos, el usuario y los asociamos dándole todos los privilegios.


Por otro lado, en caso de no contar con cPanel, no hay problema, podemos llevar a cabo ésto creando elusuario y base de datos desde MySQL directamente.
Instalando Magento
Este es uno de los pasos importantes sobre cómo instalar Magento: ahora que tenemos los archivos en el servidor y la base de datos lista, ya podemos proceder con la instalación del CMS. Para poder comenzar con la instalación de Magento, debemos acceder a la sección en donde descomprimimos nuestros archivos, por ejemplo http://dominio.com/magento. Allí, se nos abrirá el asistente de instalación de Magento.

Pasos para instalar nuestra tienda Magento
El primer paso, luego de acceder a dicha dirección será leer los términos y condiciones, aceptarlos y continuar al siguiente paso.

En el siguiente paso, Magento se encargará de revisar que contamos con la versión de PHP adecuada, así como también sus extensiones y demás. Si todo va correcto, simplemente continuamos al siguiente paso, de lo contrario, habrá que verificar el error que nos muestra y ver como podemos solventarlo, dependiendo de si es la versión, alguna extensión faltante, etc.


El paso número dos, es configurar los datos de nuestra base de datos. Aquí simplemente colocamos los datos que correspondan y chequeamos que se pueda conectar correctamente.

Como vemos, hay algunos datos que no son totalmente necesarios, aunque sí son recomendables, por ejemplo tener un password de acceso a MySQL, si bien allí dice que no es necesario, sí es recomendable en cuanto a seguridad se trata.

Lo demás datos, tales como el usuario y nombre de la base de datos, serán los que hemos creado en el punto anterior.

En cuanto al servidor, la mayoría de las veces es localhost, es decir, si tu sitio se encuentra en el mismo server que tu base de datos. Si tu base de datos se encuentra en un servidor distinto, entonces allí debes colocar la IP de dicho servidor.


El paso número tres, es la configuración de nuestro sitio. Allí indicaremos la dirección por la cual deseamos acceder al sitio, así como también al administrador. Por otro lado, también podemos configurar si deseamos activar el protocolo seguro “Https” ( esto lo podremos activar si contamos con un certificado SSL en nuestro sitio), donde deseamos guardar las sesiones y si deseamos crear una clave de encripación propia. Igualmente estos últimos puntos podemos obviarlos, además de que los podremos cambiar más adelante si así deseamos.

En el paso número 4, es donde indicaremos la zona horaria de nuestro sitio, así como también el lenguaje, entre otros.

Y por último el paso número cinco, será el paso en el cual crearemos el usuario que administrará el sitio. Como siempre, recuerda crearlo con un email verdadero, un nombre de usuario fuerte, distinto de los tan conocidos “admin”, “administrador”, etc, y coloca un password fuerte.

Luego de esto, ya podemos ir al siguiente paso, en el cual se ejecutará la instalación y si todo va correcto, en un par de minutos tendremos nuestra tienda online Magento en pie.


Conclusión
Cómo Instalar Magento ya no es una cosa tan difícil, ¿verdad? Montar una tienda usando Magento es algo relativamente sencillo y que no nos llevará más de unos minutos. Lo que más nos llevará tiempo después de todo, será subir los archivos vía FTP o por cPanel y crear la base de datos, lo demás es totalmente intuitivo y es básicamente llenar datos y presionar siguiente.
Fuente:
guiadev.com

mayo 25th 2016

Ahorra tiempo descargando máquinas virtuales preconfiguradas

Número de lecturas: 5498
{lang: 'es-419'}

Una máquina virtual es un programa de ordenador que emula ser una computadora. Es decir, a través de software se recrea un hardware. ¿Para qué? Principalmente, para tener una configuración específica de hardware y software en un entorno controlado, pues la máquina virtual es un programa estanco queno afecta a tu ordenador. Con una máquina virtual se pueden probar programas, encontrar vulnerabilidades y realizar tareas peligrosas sin miedo a estropear tu sistema operativo. Los programas para crear máquinas virtuales más conocidos son VirtualBox y VMware. Te presentamos páginas con máquinas virtuales preconfiguradas, para descargar y usarlas sin configurar nada.

 

Las máquinas virtuales son muy útiles por su versatilidad. Tanto VirtualBox como VMware son capaces de virtualizar prácticamente cualquier sistema operativo que puedas imaginar y en arquitectura de 32 o 64 bits, siempre y cuando tu ordenador sea compatible. La única desventaja de la máquina virtual es que, en funcionamiento, consume la mitad de recursos, ya que se trata de ejecutar el sistema operativo real y otro virtualizado. Pero las ventajas son muchas, principalmente mantener tu sistema operativo a salvo y seguro de cualquier prueba o percance que tengas dentro de la máquina virtual.

Para que no tengas que configurar máquinas virtuales por tu cuenta, te recomendamos algunas páginas dedicadas a facilitar máquinas preconfiguradas que sólo tendrás que descargar e instalar para empezarla a usar. Seguramente tendrás que cambiar algún aspecto, como la cantidad de RAM dedicada o el idioma del sistema operativo virtualizado, pero te ahorrarás todo el proceso de instalación.

VirtualBoxes

La primera recomendación es VirtualBoxes, una página que ofrece máquinas virtuales preconfiguradas para VirtualBox. Entre sus secciones, destaca principal la de ”Images”, con las máquinas a descargar. En concreto, encontrarás más de 30 distribuciones Linux diferentes, así como OpenSolaris, FreeBSD y otros sistemas como Android para procesadores x86, Haiku o FreeDOS.

Al entrar en la página de cada máquina virtual, verás que están representadas las distintas versiones del sistema operativo que quieres, lo que te será muy útil para probar versiones antiguas para propósitos concretos.

Si tienes dudas, puedes usar la documentación oficial, y si quieres ver el aspecto de una máquina virtual antes de abrirla, hay disponibles algunas capturas de pantalla.

VirtualBoxImages

La segunda recomendación es VirtualBoxImages, una página más completa que la anterior y que ofrece un sinfín de máquinas virtuales. Su guía para empezar a usar las máquinas te será muy práctica.

Además, diferencia entre máquinas gratuitas (Free VDIs) y máquinas de pago (Featured VDIs) que añaden soporte técnico vía correo electrónico, por si tienes alguna duda o problema.

VirtualBoxes – Free VirtualBox Images

La tercera recomendación específica para VirtualBox está hospedada en SourceForge y cuenta con 46 sistemas operativos distintos, distribuciones Linux en su mayoría, y con varias versiones de cada uno, que podrás descargar y descomprimir en tu ordenador para usar.

Traffic Tool – VMware images

Para VMware también hay muchas imágenes de máquinas virtuales preconfiguradas. La primera es la hospedada en Traffic Tool, que aunque no ofrece demasiadas, 18 máquinas de 7 sistemas operativos diferentes, están bien configuradas para que sólo tengas que descargarlas y abrirlas con VMware Player o VMware Workstation.

Virtual Machine

En Virtual Machine verás un montón de sistemas operativos para probar, básicamente distribuciones Linux y FreeBSD. En cada ficha sabrás los requisitos de la máquina a nivel de hardware e información útil como la contraseña del usuario root.

 

Fuente:

http://hipertextual.com/

septiembre 23rd 2014

Configurar correctamente el archivo .htaccess en WordPress

Número de lecturas: 6325
{lang: 'es-419'}

 El archivo .htaccess es un archivo oculto que está ubicado en el directorio raíz de nuestro blog. En algunas ocasiones es posible que tras realizar una instalación de WordPress este archivo no exista, por lo que debemos crearlo a mano accediendo a nuestro sitio mediante FTP.

Se trata de un archivo extremadamente importante para el correcto funcionamiento de WordPress, pero también nos ayuda a proteger nuestro, y nos permite especificar instrucciones para realizar muchas tareas que redundan en beneficio de la indexación del blog en los buscadores y la utilización de herramientas externas como complemento del blog.

Una vez creado el archivo debemos hacerlo de sólo lectura, para evitar problemas mayores. Esto se hace editando los permisos del archivo en tu aplicación o gestor FTP y cambiándolos a 444.

Una vez hecho esto debemos editar el archivo y añadir las siguientes instrucciones para que WordPress opere a la perfección:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Pero el archivo .htaccess sirve para muchas cosas más. Veamos algunas.

Proteger el acceso al propio archivo .htaccess

Para evitar que un atacante malicioso pueda modificar o insertar código en el propio archivo podemos añadirle, justo al principio, estas líneas:

# protege el archivo htaccess

order allow,deny
deny from all

Redireccionar permanentemente el feed a Feedburner

Si usas Feedburner para gestionar el feed RSS del blog deberías establecer una redirección permanente para indicar a los agregadores que deben usar el feed de Feedburner. Esto se hace añadiendo estas líneas:


RewriteCond %{REQUEST_URI} ^/feed/ [NC]
RewriteCond %{HTTP_USER_AGENT} !(FeedBurner|FeedValidator) [NC]
RewriteRule .* http://feeds.feedburner.com/Your-Site-Userame [L,R=301]

Bloquear comentarios spam

También es posible bloquear el spam que llega al blog en forma de comentarios. De ese modo nos evitamos algo de carga al servidor, y tiempo de moderación. Para ello añadiremos estas líneas:


RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post.php*
RewriteCond %{HTTP_REFERER} !.*yourblog.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

Dirigir a los motores de indexación hacia robots.txt y evitar a los bots maliciosos

Uno de los principales problemas de cualquier sitio web son los bots maliciosos que pueden sobrecargar nuestro servidor realizando muchas peticiones de indexación. Para evitar esto y además dirigir adecuadamente a los motores ‘buenos’ a nuestro archivo robots.txt (archivo de configuración para motores de búsqueda), insertaremos este código:


RewriteBase /
RewriteCond %{REQUEST_URI} !^/robots.txt$ [NC]
RewriteCond %{REQUEST_URI} robots.txt [NC]
RewriteRule .* http://your-site.com/robots.txt [R=301,L]

Fuente:

labrujulaverde.com