beGNU

OJO! ANTES DE NADA LEED LA ACTUALIZACIÓN AL FINAL DEL POST!

Bueno, el termino de carpetas no me gusta nada pero la verdad es que se está extendiendo mucho. Eso sí, no lo soltéis por el canal #ubuntu del hispano porque os correrán a gorrazos… se llaman “directorios”, no carpetas. xD

Conceal es un proyecto del Google Summer of Code que he descubierto a través del post en Blux 2.0, donde hablan de Cypt Manager, al parecer es otro nombre del proyecto. No sé cual es el definitivo aunque Conceal suena más a nombre en clave que a nombre de aplicación final, la verdad (va a ser por eso que me gusta más xD).

El caso es que no está en los repositorios ni nada, pero la aplicación merece la pena, aunque se encuentre en la versión 0.0.5 funciona bastante bien. Son tres paquetes externos los que hay que instalar para la aplicación, aunque son partes modulares, así que puede que haya alguno que no te interese (a mi los tres me parecen bastante buenos):

• La aplicación en si (escrita en python) que se puede utilizar desde la línea de comandos. [Link]
• El interfaz en gtk para la aplicación, el icono aparece en Administración como Encrypted Directories. [Link]
• El paquete para la integración con Nautilus. [Link]

Una vez tengamos todo instalado veréis como es MUY fácil de manejar: simplemente os váis a Administración, pincháis en Encrypted Directories y tendréis un cómodo interfaz para añadir los directorios que queréis tener encriptados.

Para los que uséis KDE también tenéis la aplicación portada a QT [Link], pero no he encontrado ningún paquete para integrarlo con Konqueror.

 ACTUALIZADO: Después de probar unas cuantas veces ésta aplicación no he conseguido añadir una sóla carpetada encriptada. No sé si es que el encriptado que hace por defecto es demasiado alto, pero da la impresión de que la aplicación se queda pillada. De todas formas, no es para nada usable si tengo que esperar tanto para que la cosa funcione. Importante:

NO PROBÉIS ÉSTA APLICACIÓN CON NINGÚN DIRECTORIO QUE TENGA ALGO QUE NO QUERÁIS PERDER SIN HACER ANTES UNA COPIA DE SEGURIDAD. CORRÉIS EL RIESGO DE PERDER LOS DATOS QUE CONTENGA.

A cambio, os dejo la aplicación que usaba antes y que es la que voy a seguir usando: EncFS con CryptKeeper como interfaz gtk, una auténtica delicia de aplicación. Os dejo el enlace al post donde comenté como se instala y usa

Vale, igual el titular es demasiado heavy como para pedir a gritos una actualización de wordpress 2.2 a wordpress 2.3 pero el tema trae tela…os cuento.

Ésta semana hemos visto como la cosa empezaba a moverse en WordPress, la beta de la versión 2.3 está disponible y ya hay incluso una traducción completa al español, aún así la versión final todavía no está disponible. ¿por qué actualizar entonces? ¿trae algo nuevo? ¿trae algo con ese saborcillo a compiz que hace que la gente se instale betas? Pues la verdad es que no.

Más bien es que no trae algo que si traen las demás versiones: un agujero de seguridad que alguien se ha encargado ya de explotar. No con fines buenos, como podría ser encontrar el fallo y comunicarlo a la gente de wordpress, sino creando un gusano que está creando expetación. Al parecer todas las versiones anteriores a la 2.3 son vulnerables.

Me imagino que los desarrolladores de wordpress estarán con el agua al cuello para sacar YA la versión final de WorpPress 2.3 porque la gente lo está pidiendo a gritos.

Os dejo las fuentes de la noticia:

WordPress 2.3 en español
Exploit liberado
Noticia original sobre el exploit

Alemania ha decidido seguir el camino más “fácil” pero más desastroso para combatir el crimen tecnológico: ilegalizar la posesión de herramientas de “hacking”. Es decir, si tienes una herramienta de “hacking” te pueden arrestar sin más, y OJO, sólo con poseerla, no tienes porque estar usándola ni nada parecido.

Cómo habréis notado por las comillas, me ha llamado la atención lo de “herramienta de hacking” (traducido literalmente de “hacking tool”), ¿qué se considera una herramienta de hacking? Por ejemplo, Nmap, es un escaneador de puertos remotos sumamente conocido. ¿es una herramienta de hacking? Pues depende como lo uses. Lo puedes usar para acechar una máquina, ver que puertos tiene abiertos, mirar a qué servicios corresponden y buscar uno con alguna vulnerabilidad aprovechable. Pero, por ejemplo, yo lo use en su día para ver, por curiosidad, que puertos tenía abiertos mi PS3 y la Wii de mi ex-compañero de piso. Lo mismo ocurre con Kismet, un software también muy conocido para la detección/estudio de redes wifi también puede ser usado de ambas formas: para pillar paquetes de la wifi de tu vecino y a partir de ellos crackear su contraseña wep y poder usar su red o bien para mantener vigilada tu wifi por si alguien más que tu la está usando o, simplemente, hacerte unas estadísticas de cuando usas más tu red y para qué la usas más.

He aquí una foto de unos cuantos que están en contra de ésta ley y han protestado contra ella de ésta guisa, la mayoría forman parte del Chaos Computer Camp y todos ellos podrían ser arrestados sin problemas:

Soy de la opinión de que las cosas no se hacen así y que, aunque a los gobernantes les pueda parecer que así cortan por lo sano con los delitos informáticos no es así para nada. Deberían haberse planteado utilizar la fuerza de la educación. ¿Qué impide que ataquen sus servidores desde fuera de Alemania? Nada. Además, creo que la ley tiene fuertes puntos flojos… si lanzo nmap de ésta guisa:

sudo aptitude install nmapfe && nmapfe && sudo aptitude purge nmapfe

¿qué pasa? Porque eso va a bajarse nmap con su frontend, lo va a lanzar y cuando termine lo va a desisntalar de mi sistema. Vale, durante el tiempo desde que acabe de ejecutarse el primer comando hasta que acabe de ejecutarse el último tendrían potestad para arrestarme, pero… ¿y las pruebas? xD

No sé, me parece un muy mal camino a seguir. A ver quien tiene cojones de pasar con su portatil por la aduana Alemana xD

¿y tú? ¿le ves alguna ventaja a ésta ley?

Un poco contradictorio el título ¿no? Pues puede verse así. Hablando de temas de seguridad muchas veces (como en todo el mundo de la informática) las cosas cambian mucho según el punto de vista de cada uno.

Lo que voy a explicar de manera breve es algo que vi en 120%Linux, concretamente en éste post, y que me pareció bastante interesante, en gran parte porque me ahorra meter una contraseña bastante veces al día xD

El objetivo es el siguiente: poder logearnos en nuestros servidor a través de ssh sin tener que introducir ninguna contraseña pero manteniendo cierto nivel de seguridad en el servidor. Lo que haremos será eliminar el hecho de introducir la contraseña y añadir la necesidad de indentificarse (de forma automática) mediante una firma RSA que tendremos almacenada. Aquí os va el resumen de lo que tenéis que hacer:

- Generar el par de claves RSA (pública y privada):

ssh-keygen -t rsa

nos preguntará la passphrase que queremos usar para éste par de claves y en qué fichero queremos guardar la clave, de forma que guardara con ese nombre la clave privada y con el mismo nombre seguido de .pub la clave pública (por defecto ~/.ssh/id_rsa y ~/.ssh/id_rsa.pub). OJO! si lo que queremos es no tener que meter clave al conectar por ssh debedos dejar el passphrase en blanco.

- Ahora mandaremos la clave pública al servidor:

ssh-copy-id -i ~/.ssh/id_rsa.pub usuario@servidor

- Ya sólo nos queda configurar el servidor. Lo hacemos editando el fichero /etc/ssh/sshd_config y cambiando los siguientes valores:

PasswordAuthentication no
RSAAuthentication yes
PubkeyAuthentication yes

más o menos se entiende, pero quiero aclarar que si dejamos “PasswordAuthentication no” ya no se podrá entrar en el servidor si no disponemos de la clave privada en la máquina desde la que estamos trabajando. Yo lo he dejado como yes porque alguna vez conecto desde casa de algún amigo y otro colegas míos tienen cuentas ssh en el servidor de mi casa. Tenedlo en cuenta porque afecta a todos los usuarios del sistema.

En el tutorial original añaden éste otro paso más, pero no estoy muy seguro de que haga falta, probad antes de hacerlo y si no os funciona ya sabéis (de paso dejad un comentario para aclararlo :D):

cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

- Por último, pero no menos importante, reiniciar el servicio ssh en el servidor así:

sudo /etc/init.d/ssh restart

Y listo. Ahora deberíamos poder logearnos sin problemas como siempre:

ssh usuario@servidor

Podéis hacerlo así para ver todos los mensajes y aseguraros de que está usando el par de claves rsa:

ssh -v usuario@servidor

Si queréis hacer cambios tened en cuenta que no se puede cambiar la passphrase, vamos, si que se puede pero el concepto es distinto: tenéis que generar otro par de claves distintas con otra passphrase y añadirlas. Pero sabed que sino elimináis la clave pública vieja del fichero ~/.ssh/authorized_keys seguirá siendo válida. Podéis hacerlo borrando directamente ese fichero antes de pasarle la clave pública nueva o editándolo se ve bien donde termina una clave y empieza otra.

Que no os engañe el hecho de que no haya que meter contraseña, si controláis bien el acceso a vuestro clave privada es mucho más seguro que la contraseña que usábais hasta ahora.

Leo en linuxeando éste post sobre una nueva distro basada en ubuntu, Rescubuntu. En éste caso no se trata sólo de un cambio de escritorio (kubuntu, xubuntu) sino que lo que han hecho es una distribución preparada para recuperar sistemas desde su livecd. La verdad es que pocas veces le damos utilidad a éste tipo de distribuciones…hasta que nos casca algo, en ese momento si que nos vienen bien. Yo procuro tener siempre un livecd de ubuntu en casa por si las moscas.

No sé si ésta distribución merece la pena, todo dependerá de si está bien trabajado el escritorio para dejar bien a la vista las herramientas de recuperación aunque no las conozcas porque, si las conoces de antemano, podrías hacer lo mismo con una ubuntu live normal (recordad que permite usar aptitude para instalar cosas aunque se queden sólo en ram).

Mirando a ver que aplicaciones traía la distribución nos lleva a ésta página que es la página de documentación de ubuntu-es sobre recuperación de datos. Mirando un poco veo de primeras una utilidad que me va a venir muy bien la semana que viene parted (no sé si es el gparted de consola, tiene toda la pinta) con una función que desconocía completamente: recuperar una partición si se ha perdido pero no se ha sobreescrito. Digo que me va a venir muy bien porque me ha llamado mi padre porque el ordenador no le arranca y con el cd de instalación de windows no encuentra ninguna partición en el disco duro así que a ver si con ésto puedo recuperarlo

Ni que la hubieran hecho a medida, lo que mi padre más interés tiene en recuperar de su ordenador son unas fotos que había estado escaneando a mano y Recubuntu trae la aplicación photorec que permite precisamente eso, buscar fotos y recuperarlas. También incluy ntfsprogs que permite recuperar datos borrados de una partición ntfs.

Es destacable también que la distro se basa en la consola para trabajar, e incluye un interfaz hecho con ncurses para grabar en cd/dvd todos los datos recuperados, algo imprescindible a menos que quieras sacarlos por red (que seguramente será mi opción). No estaría de más trabajarse algún menú en ncurses que te permita automatizar a través de opciones todo el proceso de recuperación de datos desde el arranque.

Os dejo un screenshot del programa de grabación y el link de descarga de la primera beta de la distro:

Todo ésto entre otras muchas cosas. Ya os contaré cuando la pruebe la semana que viene

El gobierno americano se está aprovechando cada vez más del tema del terrorismo para violar la privacidad de la gente. Una prueba de que cada vez se la pela más y lo ven como algo “normal” es que ya hasta lo reconocen en público.

He leido en kriptópolis que el FBI ha reconocido la existencia de CIPAV, un spyware que les permite recopilar información sobre el uso que se hace de un ordenador…y vete tú a saber que más!

El tema empezó cuando el FBI reconoció el uso de dicho spyware para controlar las actividades de una persona que estaba mandando amenazas de bomba a un instituto de Wahington (alguien no tenía los exámenes preparados eh? xD). Claro, que el hecho de reconocer ésto implica muchas más cosas: ¿cómo entra ese spyware? ¿viene preinstalado en “algún” sistema operativo?

Se sabe bastante poco sobre CIPAV, pero presuntamente es un programa para Windows (ni se nos había pasado por la cabeza verdad? xD) que recopila información y la envía a los servidores del FBI. También se sabe (si creemos lo que dicen, claro) que el spyware requiere ser activado, pero ésto pasa por entrar en alguna cuenta tipo MySpace o similar. Lo que no está claro es el modo de instalación del spyware. Está claro que no hay cojones a decir que viene preintalado con el sistema (que sería lo más normal llegados a éste punto) así que se especulan varias opciones: llega por email, es necesario pinchar en un link malicioso, aprovecha alguna vulnerabilidad del sistema, etc…

Otro tema importante a tocar es por qué los antivirus no lo encuentran (aunque no sé cómo habrán hecho las pruebas para saber ésto), aunque está claro que si te mojas el culo para colar una cosa como ésta no vas a dejar que los fabricantes de antivirus, que cada vez venden menos, te desmonten el chiringuito a la primera de cambio.

¿y tú? ¿te fías de tu sistema operativo? 

EncFS, como se puede deducir del nombre, es el EncryptedFileSystem, una utilidad que nos permitirá crear y utilizar directorios encriptados.

He visto que lo habían tratado en varios sitios, como los artículos de los que me he nutrido para hacer éste mini-howto: éste de Kriptópolis y éste otro del blog de Rodolfo Pilas, dos sitios que me han venido muy bien. El de kriptópolis me hizo romperme un poco la cabeza porque como está hecho basándose en Arch Linux me supongo que lo probaron todo como root y no tenía el jaleo de permisos que tiene Ubuntu. El de Rodolfo Pilas creo que ésta hecho sobre Ubuntu (una Dapper creo) pero había ciertos problemillas que tuve yo y que él no comenta, así que me he dedicidido a hacer éste mini-tutorial basado en Ubuntu Feisty Fawn para todos aquellos que necesiten algo parecido y además he añadido una aplicación que hace mucho más cómodo es uso diario de EncFS desde gnome.

Empecemos con el tema:

1.- Instalación.

Igual que cualquier otro paquete ya que lo tenemos en los repositorios:

sudo aptitude install encfs

2.- Creación de directorios.

Yo lo he organizado todo un poco dentro de un subdirectorio en mi carpeta home, de forma que hecho un direcotiro oculto llamado “.sensible” y dentro de él otros dos “encrypted” y “.clear” de forma que en el primero se guardarán los datos encriptados y en el segundo será en el que se monten los datos encriptados, en claro, para poder trabajar con ellos. Supongo que todos controláis el mkdir así que no os pondré los comandos necesarios

3.- El módulo del kernel.

El kernel de Ubuntu (al menos el de Feisty Fawn y creo que el anterior también) ya traen el módulo fuse, necesario para que funcione EncFS, listo para montarlo, así que lo cargamos así:

modprobe fuse

Si queremos comprobar que se ha cargado correctamente deberíamos poder verlo con el siguiente comando:

lsmod | grep fuse

4.- Permisos de nuestro usuario.

Aquí tuve un pequeño dolor de cabeza. Es necesario para poder montar los datos encriptados que nuestro usuario pertenezca al grupo de usuarios fuse, tranquilos, el grupo se ha creado ya con los pasos anteriores. El usuario lo podéis añadir con el siguiente comando:

sudo usermod -a -G fuse vuestro_nombre_de_usuario

O si preferís utilizar un entorno gráfico desde Menú de gnome > Sistema > Administración > Usuarios y Grupos. Cualquiera de las dos opciones es perfectamente válida. El quebradero de cabeza que tuve fué que a mi no me dió los permisos de dicho grupo, para montar los datos, hasta que reinicié el equipo. Y no, no me valió con salir y volver a logearme, tuve que reiniciar del todo el equipo.

5.- Uso de EncFS.

Ya tenemos todo listo, ahora vamos a ver el comando básico del uso de EncFS. Por un lado podríamos montar los datos con un mount de toda la vida especificando el tipo de sistema de fichero fuse y desmontarlo con umount. ¿por qué no vamos a hacerlo así? Porque eso nos requeriría utilizar permisos de administrador y queremos poder usarlo como nuestro usuario sin tener que meter más contraseñas que la del volumen encriptado que queremos utilizar. Así que vamos a usar el siguiente comando:

encfs /home/usuario/dir_encriptado /home/usuario/dir_de_trabajo

Como podéis ver he puesto la ruta completa aunque me encontrar en el directorio /home/usuario, lo he hecho porque encfs necesita que le paséis las rutas completas a los directorios con las que tiene que trabajar obligatoriamente. Si es la primera vez que usáis esas carpetas os pedirá la configuración, os aparecerán dos opciones: pulsar x: modo experto, os dejará elegir el tipo de encriptación que queréis, etc… pulsar p: modo paranoico automático: es el que yo he usado, elige un modo de cifrado predefinido por defecto en la aplicación, os pedirá la contraseña que queréis ponerle al volumen encriptado y listo.

Si todo ha ido bien, ahora tendréis en el directorio_de_trabajo un directorio vacio y en directorio_encriptado un archivo .algo que es el que almacena la información de encriptación. Si creais un archivo en el directorio_de_trabajo veréis como aparece también un fichero con un nombre bastante extraño en el directorio_encriptado, es el mismo fichero, pero fuera de miradas indiscretas

Para desmontarlo usaremos el siguiente comando:

fusermount -u /home/usuario/directorio_de_trabajo

Y veremos como en el directorio_de_trabajo no queda nada, pero si en el directorio_encriptado en el que aparecen los datos de forma no legible sin la contraseña. En el siguiente punto haremos todo ésto un poco más cómodo mediante el uso de un interfaz gráfico.

6.- Cómodo uso en gnome

Usarlo siempre desde la línea de comandos es un poco incómodo, y crearse un script para lanzarlo desde el panel de gnome nos haría tener un script para cada directorio encriptado o que nos pidiese elegir el directorio que queremos montar en ese momento.

Por suerte para los vagos como yo, existe la aplicación Crypkeeper, actualemente en su versión 0.7.666 (un poco satánico ya lo sé… xD) y que nos va a ser de gran ayuda. No está en los repositorios, todavía, pero si el paquete para ubuntu en getDeb, os dejo el link de descarga. Para instalarlo:

sudo dpkg –install fichero.deb

Ya lo tendremos en el menu de gnome > Herramientas del Sistema > Cryptkeeper, una vez arrancado aparece un candado en el tray del sistema, ahí es donde podemos configurar los directorios encriptados que tengamos listos. Con el botón derecho nos dejará elegir del gestor de ficheros que queremos usar (por defecto nautilus) y con el botón izquierdo nos muestra las funcionalidades:

Imported folders: debajo de ésto aparecerán la lista de los directorios encriptados que hemos configurado (siguiente función), con hacer click en uno, se monta (pidiéndonos la clave) y se desmonta en caso de estar montado.

Import EncFS folder: nos deja indicarle un directorio ya encriptado con EncFS y lo añade a la lista anterior.

New encrypted floder: nos deja crear un directorio nuevo y él se encargará de pedirnos que clave le queremos poner. (ésto no lo he probado, supongo que funciona así, si alguien ve alguna diferencia que me deje un comentario :D)

Friki-Consejo: si queréis que sea cómodo de verdad, añadid cryptkeeper al incio de sesiones para que se arranque al inciar sesión. menu de gnome >Sistema > Preferencias > Sesiones.

7.- Conclusiones.

Me parece una herramienta en una perfecta relación seguridad/sencillez. Está claro que no puedes depender de ella para mantener seguros unos datos de los que dependa tu vida, pero para cosas sencillas me parece estupenda. Ya ningún “colega” más al que le deje usar el ordenador me mangará las prácticas de la universidad jejeje…

Probadlo, y si os gusta dejadme un comentario! Valoro muy mucho las críticas que me ayuden a hacer mejores tutoriales

No puedo estar más deacuerdo con la entrada de kriptopolis, el fallo que se producía al navegar con Explorer pero teniendo Firefox instalado nos ha demostrado una vez más como actúan cada una de las compañías. Y es que mira que se puede queda mal por tonterías eh?

El problema básicamente era que Explorer daba como salida lo que le daba la gana y Firefox simplemente se tragaba una entrada que no debería. ¿fácil de solucionar no? Mozilla tú mejora tu validación de datos de entrada y Microsoft, tú mira a ver que es lo que devuelve tu navegador. Resputas: De acuerdo, ya está (pasada una semana), ¿qué arregle qué? eso no es problema mío. Toma.

Actuando así (no hace falta que diga de quien es cada respuesta no?) no me extraña que pasen cosas cómo ésta. (Para el que no quiera “saltar” la web OpenAddict ha decidido rechazar a los usuarios que utilizan Explorer porque estaban hartos de malgastar horas con truquillos para que se viera bien en éste navegador).

PD: Alguien el otro día me preguntó por qué nunca linkaba a Microsoft cuando nombraba a Redmond, Explorer, etc… si además eran sitios que podían subir mi PageRank. La repuesta es que, no es porque me caigan mal, sino porque paso de llevar a incautos a las garras de la bestia, o lo que es lo mismo, no pienso facilitar el uso de software mediocre (por no decir malo).

AÑADIDO: ya que pega con el título del post, ésto si es una buena forma de actuar. La nueva novela de Vázquez-Figueroa regalada al público. Vía barrapunto.