Maldito htaccess

Toquitear este archivito clave en un servidor web es un infierno en vida.
A la mínima te cargas lo que no está escrito.

Es una pesadilla sobre la que he tenido que aprender algo para que estas webs que manejo desde hace décadas dejen de dar problemas en el «rating» de webs sospechosas.

Ahora tengo esta versión instalada que no tengo muy claro que sea la que tengo que tener, pero al menos es funcional (aunque todas las webs parecen ir más lentas), además de tener mejor fama (Rating A) según https://securityheaders.com/

 

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

<IfModule mod_headers.c>
    # Tell the browser to attempt the HTTPS version first
    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"

    ## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
    Header set X-XSS-Protection "1; mode=block"

    ## Cabecera X-Frame-Options para mejorar la seguridad
    # X-Frame-Options
    Header set X-Frame-Options "SAMEORIGIN"

    ## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
    # X-Content-Type-Options
    Header set X-Content-Type-Options "nosniff"

    # Control Cross-Domain Policies
    # Header set X-Permitted-Cross-Domain-Policies "master-only"

    ## Cabecera Content-Security-Policy
  	# Header set Content-Security-Policy "script-src 'self'"

    # Referrer-Policy
    Header set Referrer-Policy "same-origin"

    # Features-Policy
    # Header set Feature-Policy "geolocation 'self'; vibrate 'none'"
    # Permissions-Policy
    Header set Permissions-Policy "camera=(), microphone=(), geolocation=(), fullscreen=()"
</IfModule>

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

 

Ahora ha dejado de funcionar todo lo relacionado con Piwigo, pero ya no sé si quiero arreglarlo o mandarlo a la mierda.

Burlando restricciones…

Me gusta sentirme casi un hacker por hacer algo tan básico como explorar el código de una página web que visito y de la que no puedo hacerme con algún contenido, como por ejemplo esta fotografía que se usaba como «background» en un carrusel de imágenes y que aparentemente no podía descargarse.

Para ello la acción es tan simple como pinchar con el botón derecho sobre cualquier parte y elegir la opción «Inspeccionar» para ver el código fuente o un cachito específico del mismo.

A partir de ahí, encontrar el enlace a la imagen, en este caso:
https://laterrazadelsantodomingo.es/sites/default/files/styles/background_home/public/sd-255_1.jpg
y llevárselo a una pestaña nueva del navegador en cuestión.

Y, como dice mi hermana, pues ya estaría. 🙂

«Phising» cada vez más peligroso

Constantemente llegan mensajes, correos electrónicos, llamadas… que loo único que pretenden es que «piquemos» como los pececitos que somos, pero es que cada día es menos obvio que eso en lo que vamos a picar es un anzuelo mortífero.

Es muy complicado evitarlo. Mucho más que los antiguos ataques de «Troyanos» que con evitar descargarlos se resolvía. Amén de que a quienes usamos Linux no nos afectaba generalmente pues no eran ejecutables en nuestros sistemas operativos.

Sin embargo, ataques a los navegadores son terribles porque cada día tenemos más información online y menos en los PC. Es difícil evitarlos sin perder usabilidad diaria en multitud de sitios.

Hoy ha sido este mensaje y estaba claro que era un ataque pues intentaba dirigirme a una web que no tenía nada que ver con la Agencia Tributaria, además de estar dirigido a poesia@clave53.org, que es una dirección que no uso en absoluto para darle a ningún organismo oficial.

Pero pasar sobre el enlace y mostrar la URL sin pincharlo y ser dirigido a ella es algo que habría que enseñar, directamente, en el Telediario cada día o en el colegio e institutos.

Van a ser un aluvión de desdichas los tiempos venideros.

Sé que puede ser oportunidad de negocio (seguridad informática), pero a pesar de mi background, no es algo que me parezca sencillo ofrecer ni me apetezca cobrar. Pero…

SPAM peligroso

Recibes este email y te echas a temblar, hasta que empiezas a darte cuenta de que hay cosas «raras», como esa dirección de correo electrónico que no suelo usar para trámites administrativos, enlaces sobre los que pasas el ratón y puedes ver que te conducen a direcciones web de nombre extraño o que no coincide con lo que se supone que debe ser, un NIF que está oculto y además contiene un par de dígitos que no están en el mío…

Pero la verdad es que está muy bien redactado para ser SPAM y eso me hace temer que haya escaladas de virus campando por los correos electrónicos de la gente que, sin ser tan desconfiada como yo, pinchen donde no deberían y del caballo de Troya escape Odiseo, Aquiles, Menelao y sus amiguitos… y armen la de san quintín.

ESTE EMAIL SE CORRESPONDE CON UN AVISO DE UNA NOTIFICACIÓN ELECTRÓNICA.

Le informamos que está disponible una nueva notificación para poesia@clave53.org con NIF/NIE ***09**** como Titular con los siguientes datos:

Titular poesia@clave53.org con NIF/NIE: ***09****
Organismo emisor: Agencia Estatal de Administración Tributaria, con DIR3: EA0028512
Identificador: 2351998831615
Concepto: Notificación administrativa
Vínculo: Titular
Puede acceder a esta notificación en la Dirección Electrónica Habilitada Única (DEHÚ) del Punto de Acceso General, disponible en: https://dehu.redsara.es
https://NOPINCHAR-pouralbacette.com/lib-files-6467175fde8e6/register-faq-6467175fde8e7/?aCiAMfrYa=cG9lc2lhQGNsYXZlNTMub3Jn

Le facilitamos un enlace directo a la notificación.

De acuerdo con lo previsto en los artículos 41 y 43 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la aceptación de la notificación, el rechazo expreso de la notificación o bien la presunción de rechazo por no haber accedido a la notificación durante el periodo de puesta a disposición, dará por efectuado el trámite de notificación y se continuará el procedimiento.

Puede recibir esta notificación por distintas vías electrónicas o incluso en papel por vía postal. Si accediera al contenido de esta notificación por más de una de estas vías, sepa que los efectos jurídicos, si los hubiera, siempre empiezan a contar desde la fecha en que se produzca su primer acceso.

Gobierno de España

Caballo de Troya

Es tan conocida la historia (leyenda) del Caballo de Troya que casi da pereza tener que explicar qué es un troyano, pero cuando te llega un mensaje como este por correo corres el riesgo de creer que verdaderamente es un mensaje destinado a ti.

Cada día más, los antivirus heurísticos son capaces de discernir con una inteligencia más o menos artificial, implementada en forma de algún algoritmo (¿son algoritmos las redes neuronales artificiales, los sistemas expertos, la lógica difusa?), si se trata de SPAM, virus, o si por el contrario es un mensaje «verificado» como sin peligro.

Por supuesto, queda la llamada a la ciudadanía, a los y las internautas, para que sean conscientes del riesgo que asumen al tener un dispositivo conectado a estos ataques que muchas veces es muy complejo distinguir de cartas bienintencionadas.

Me llegó este mensaje al correo electrónico de mi flamante linux (algo más seguro frente a ataques «convencionales» de software que se ejecuta en el equipo, básicamente porque la seguridad es implícita al propio sistema operativo y además (y sobretodo) porque no se desarrollan muchos virus para atacar a menos del 1% de dispositivos, pudiendo atacar al 99%):

Cuando el cuerpo del mensaje es como este:

señor.
Siga según lo solicitado, ¡tómese su tiempo!
(Archivo_10009256727)

yo sospecho, ya de primera, por la mala redacción del mismo, el iniciar la presentación de manera tan formal, pero en minúsculas, y ese «según lo solicitado» tan inespecífico, amén de incluir un «asunto» con problemas en la codificación UTF-8.

Además, me encuentro con que lleva a un presunto PDF (que tampoco abriría, pues no sé las capacidades de ejecutar macros o similar por el lector de PDF que tengo instalado y que no es el habitual de Adobe, por supuesto, en LinuxMint), que para colmo tiene la extensión .html tras de sí y un tamaño ridículo de menos de 1kb.

Ya con esta información puedo saber de qué tipo de virus se trata, pero no pierdo la ocasión de recordar viejos tiempos, cuando me tocaba analizarlos como parte de mi trabajo en seguridad informática y lo descargo en una zona segura (no voy a «pincharlo», así, sin más) y lo abro con un editor al que confiaría mi vida (tecnológica). El código es tan simple que espanta:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta http-equiv="XXXrefresh" XXXcontent="0;URL=https://XXXbit.ly/XXX3jeIkxk">
</head>
<body>
<br>
</body>
</html>

En realidad, lo único que hace este código (al que le he añadido las XXX por seguridad) es redireccionar (con http-equiv=»refresh»)  el navegador a un lugar seguramente malicioso. Ahí sí que no voy a arriesgarme, salvo que lo hiciese en una máquina virtual… y no tengo tiempo ni ganas.

 

 

 

 

Aunque parezca mentira, los virus cometen faltas de ortografía

Una forma sencilla de detectar si un correo electrónico es sospechoso de ser un virus es mediante el análisis de la ortografía del mismo, especialmente si procede (al menos aparentemente) de una fuente como un banco, una operadora telefónica, la administración pública, etc.

Quizá por ello soy minucioso a la hora de redactar correos electrónicos, aunque finalmente no acabe teniendo demasiada incidencia si utilizas, como en nuestro caso, un hosting compartido por motivos de ahorro económico, lo que conlleva que no pueda controlar lo que hacen otras de las instancias instaladas junto al espacio (IP) donde tenemos alojado nuestro servidor de correo electrónico, derivando, nuestro correo, con altísima frecuencia a la carpeta de SPAM.

El lunes recibí este mensaje y pude ignorarlo tan sólo por eso VINCIÓ EL PRAZO sin necesidad de continuar leyendo, ni siquiera atender a que la dirección de origen no corresponde a la de VODAFONE y sin saber que la página al que llevan los enlaces en el correo no corresponden a esa empresa con la que, además, no tengo ninguna relación contractual.

He aquí la cabecera del mensaje, sin adulterar, mostrando mucha más información de la que debería mostrar, pero sabiendo que, en realidad, los problemas derivados de conocerla no son tan graves:

From – Mon Aug 24 10:58:15 2020
X-Account-Key: account4
X-UIDL: UID56194-1266393476
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys: $label1
Return-Path:
Delivered-To: clave53@clave53.org
Received: from just2048.justhost.com
by just2048.justhost.com with LMTP
id 6KrJB082Q1+VjwQAXwh+vw
(envelope-from )
for ; Sun, 23 Aug 2020 21:38:55 -0600
Return-path:
Envelope-to: borrarme@clave53.org
Delivery-date: Sun, 23 Aug 2020 21:38:55 -0600
Received: from qwe4.oaberh.com ([45.79.239.176]:40920 helo=localhost.members.linode.com)
by just2048.justhost.com with esmtp (Exim 4.93)
(envelope-from )
id 1kA3Ju-001Hyz-DT
for borrarme@clave53.org; Sun, 23 Aug 2020 21:38:55 -0600
Received: by localhost.members.linode.com (Postfix, from userid 0)
id DD11152605; Mon, 24 Aug 2020 02:52:13 +0000 (UTC)
MIME-Version: 1.0
Content-type: text/html; charset=UTF-8
Content-Transfer-Encoding: base64
Subject: Fwd: factura pendiente
From: Notificacion
To: borrarme@clave53.org
Message-Id: <20200824031407.DD11152605@localhost.members.linode.com>
Date: Mon, 24 Aug 2020 02:52:13 +0000 (UTC)
X-Spam-Status: No, score=3.8
X-Spam-Score: 38
X-Spam-Bar: +++
X-Spam-Flag: NO

Aquí está el contenido del mensaje en el que deparé en esa ortografía tan deficiente que es sinónimo de correo sospechoso:

«ver en el navegador» (enlazado a http://XXXXXXhttp.extrajudicialmbajadas.comXXXXX/judicial, pero sin las XXXX)
Cordial Saludo,

Le recordamos que se vinció el prazo de pagos de su factura con
nosotros, la factura 05105AS8054RAJZ

Lamentamos informarle que si el pago no si realiza hasta 25 de agosto
del 2020 suspenderemos los servicios y pasaremos su cuenta a nuestros
abogados.

Descargar la factura

© 2020 Vodafone España S.A.U.Avda. América 115, 28042 Madrid

La Caixa online y la seguridad

Los administradores de seguridad de banca electrónica de La Caixa se merecen un buen tirón de orejas. Bien es verdad que la seguridad electrónica está sobrevalorada y que luego acaba dependiendo de la seguridad que los usuarios tengan en cuenta, es decir, de las prácticas del usuario más que de la organización de destino, pero eso no es óbice para que se pongan las pilas en cuanto a arreglar algunas cosillas, varias de las cuales mantienen errores de concepto y concepción.

lineaabierta con certificado incorrecto

Si se intenta entrar por una URL que antiguamente promocionaron como válida http://www.lineaabierta.com, uno se encuentra con ese certificado asociado a la URL equivocada, con lo que el mensaje que recibe del navegador le puede hacer pensar que está entrando en una web peligrosa.

Está claro que no hay peligro, puesto que se identifica como XXX.lacaixa.es pero no como lineaabierta.com. Si ese dominio ya no desea continuar usándose, deberían ser capaces (nivel DNS) de redireccionar las peticiones al mismo a una URL de XXX.lacaixa.es que presente el certificado correcto.

No es difícil, es más, a mí me llevaría poco más de 5 minutos hacerlo… jejeje… Así que supongo que deben de tener profesionales capacitados para corregirlo, aunque no haya voluntad de hacerlo.

la caixa con pin texto

Hay un dicho en seguridad (informática) que dice que la fortaleza de la misma se mide en función de su eslabón más débil.

No tiene ningún sentido que tengan esta posible puerta de entrada en la que el usuario se identifica con un número que teclea y proporciona el PIN con un número que teclea, siendo posible su interceptación por medio de no demasiado complejos programas de registro de tecleo (los famosos malware keyloggers), teniendo también ésta que muestro a continuación en la que exigen al usuario que introduzca su PIN (forzosamente) mediante un teclado virtual, mucho más seguro que un teclado físico.

Sabiendo que se puede acceder mediante la forma anterior, es decir, mediante un PIN de teclado real… es absurdo mantener las dos maneras.

Por cierto, por cuestiones, supongo, de dificultad de implementación, también es mediante PIN de teclado el acceso desde un smartphone, así que seguimos igual de torpemente confiados.

Ni hablar de la banca telefónica, cuya comunicación, obviamente, no viaja encriptada.

la caixa con pin iconos

Aunque, peor que todo esto, ya lo avancé al principio, es el hecho de que los usuarios lleven a cabo prácticas como usar la misma clave para entrar en una banca electrónica que la que utilizan para muchas otras cosas cuyo nivel de seguridad no tiene nada que ver (contraseñas del móvil, por ejemplo, que nos ve teclear cualquiera) o la del correo electrónico.

Por no hablar de dejarse, tras de sí, sesiones abiertas en navegadores ubicados en lugares públicos (conviene aprender a dejar limpio de rastro el navegador usado antes de terminar de usarlo), así como hacer búsquedas en google para encontrar URLs de lugares cuya seguridad es relevante, lo que puede conducir a caer en el más simple de los ataques: web spoofing, suplantación de identidad de una web a la que le damos todos los datos que nos pida sin darnos cuenta de lo que está escrito en la URL del navegador. Si quieres ir a una web de seguridad sensible (banca, comercio electrónico, email, etc…) ve siempre directamente, introduciendo la URL en el lugar destinado a ello en el navegador, nunca vía un buscador… o atente a las posibles consecuencias.

La verdad es que me sorprende que no sucedan más vulneraciones de seguridad de las que ocurren… o se reportan, dada tanta mala praxis.

Esto no es una broma