Reforzar el acceso a nuestros sistemas

Traemos un par de lecturas sobre cómo podemos reforzar el acceso a nuestros sistemas, añadiendo seguridad de dos formas (que podrían combinarse entre sí, puesto que se ocupan de diferentes partes: acceso y autentificación a un sistema).

Candados

En primer lugar, en Using 2 factor authentication for SSH unas instrucciones sobre cómo utilizar el app Google Authenticator para establecer un sistema de dos factores para el servicio SSH.

La otra posibilidad es habilitar los servicios cuando los necesitemos, de forma que cuando no los vayamos a usar no estén disponibles. En este caso podríamos utiliar Latch. Tal y como cuentan en Fortificar GNU/Linux Ubuntu con Latch: Vídeo Tutorial se puede usar en cualquiera de los sistemas más comunes.

Publicar en Telegram las entradas de este sitio usando Python

Interactuando con el bot Siguiendo la línea de publicaciones anteriores, y tratando de alcanzar mayor difusión de las entradas de este sitio (y otro) decidimos probar el API de publicación de Telegram. Como siempre, es sencillo si encontramos las bibliotecas adecuadas y tenemos un poco de paciencia.

Pero primero tenemos que crear el bot. Siguiendo las instrucciones del BotFather. En este caso le pedimos el nuevo bot con:

/newbot

El botfather nos pide un nombre para nuestro bot, y un nombre de usuario (que deberá terminar en ‘bot’). Como respuesta nos envía el ‘token’ que nos servirá para identificarnos y poder interactuar con él. A partir de allí nuestra misión es mandarle cosas al bot.

Yo he elegido hacer un programita en Python, utilizando telepot. Las instrucciones están en telepot documentation El código que se muestra allí es muy sencillo.

import telepot
bot = telepot.Bot('***** AQUÍ VA EL TOKEN *****')

Y mandar un mensaje sería algo así como:

bot.sendMessage(999999999, 'Hola mundo')

En este caso ‘999999999’ es el identificador del bot, se puede utilizar el nombre asignado anteriormente.

En nuestro caso, como queremos que el bot avise automáticamente a sus seguidores cuando haya novedades utilizamos la fuente RSS del blog y algunos módulos de Python como feedparser.

Nos vamos a saltar esta parte porque ya la hemos contado en otro sitio y también la parte de obtener el título, el contenido y el enlace a la última entrada.

En este caso hay ciertos límites, no se pueden superar los 4096 caracteres en UTF8. Además, para que el texto tenga algo de gracia nos permiten algunas etiquetas de formato (que pueden ser HTML o Markdown). Como estamos leyendo la fuente RSS habremos leido HTML y la única prevención que hay que tener es utilizar sólo las etiquetas permitidas (negrita, cursiva, enlaces, código y texto pre-formateado). Para esto hice una chapucilla, consistente en eliminar todas las etiquetas que no le gustan al sistema:

Extraemos todas las etiquetas de nuestro texto:

tags = [tag.name for tag in soup.find_all()]

Y luego las recorremos:

for tag in tags:

Eliminando las que no son válidas:

   if tag not in validTags:

con unwrap. Previamente hemos tenido una consideración especial con las citas añadiéndoles delante y detrás unas comillas para que se refleje adecuadamente en el resultado final.

def cleanTags(soup):
    tags = [tag.name for tag in soup.find_all()]
    validTags = ['b', 'strong', 'i', 'em', 'a', 'code', 'pre']

    if soup.blockquote:
        soup.blockquote.insert_before('«')
        soup.blockquote.insert_after( '»')

    for tag in tags:
        if tag not in validTags:
            for theTag in soup.find_all(tag):
                theTag.unwrap()

Para enviar el mensaje necesitamos crear un canal FAQ channels y dar de alta como administrador al bot, para que pueda escribir en el canal:

bot.sendMessage('@'+channel, str(soup)[:4096], parse_mode='HTML')

El código está integrado en mi proyecto rssToSocial que no es un código para sentirse especialmente orgulloso. Pero permite hacer estas publicaciones sin tener que hacerlo a mano.

La explicación del código para publicar en otras redes sociales está en:

A partir de ahora (o dentro de un poco, que tengo que configurarlo) ya pueden recibir notificaciones siguiendo a mbpfernand0 en Telegram.

Primeros pasos con Omega2

Hace unos meses se anunció el proyecto de financiación de un nuevo ordenadorcito, el Omega2: $5 Linux Computer with Wi-Fi, Made for IoT. Tengo que decir que lo vi y no le presté atención, así que no participé en el proyecto. Mi hermano lo hizo y además encargó un par de cacharritos para darme uno.

Lo tengo en casa desde navidad pero hasta ahora no había tenido tiempo de escribir esta nota. En este caso lo probé y pude configurarlo con mucha rapidez. Desde el punto de vista de puesta en marcha el proyecto ha trabajado muy bien si nos olvidamos de un par de detalles que comentaremos luego: alimentamos la placa, esperamos a que arranque y crea un punto de acceso WiFi. La documentación es clara y se sigue bien. Desde cualquier otro ordenador podemos conectarnos a ese punto de acceso. Navegando desde esa red podremos conectarnos a la dirección del Omega y hacer la configuración inicial desde el navegador (o mediante ssh). Entre otras cosas le proporcionamos los datos de nuestra red WiFi y entonces se conecta. Personalmente me gusta más la configuración inicial del C.H.I.P. pero encuentro esta bastante cómoda y amigable (y mucho más que tener que buscar una pantalla a la que conectar el cacharrito, aunque sea la de la TV).

En cuanto a las pegas inciales dos, pero notables: la alimentación de la placa es a 3.3V (si compramos el ‘dock’ entonces podremos tener acceso a un puerto USB y alimentar el cacharrito desde allí, entre otras ventajas. Pero entonces hablamos de un ordenador de 20 dólares y no 5). La segunda pega es la separación de los pines: no es la estándar de una placa de prototipado así que no es posible pincharía allí y cablear, hay que poner los cables directamente a los pines (a lo mejor hay placas de prototipado con esa ditancia de pines, lo desconozco). La estoy alimentando gracias a que tenía una fuente de alimentación YwRobot.

Omega 2

Como decíamos arriba la documentación para ponerla en marcha y dar los primeros pasos está muy bien Onion Omega2 Documentation y ponerla en marcha es sencillo.

Una vez que conseguimos que arranque disponemos de un sistema funcionando que configuramos a nuestro gusto y podemos empezar a trabajar. Como punto positivo frente a otras placas nos ha parecido muy buena idea que genere su propia red y de manera simultánea pueda conectarse al router mediante interfaces virtuales. Así se pueden hacer proyectos (la documentación lo explica) para hacer un extensor de WiFi (llevar la WiFi a algún punto lejano, haciendo de repetidor), un punto de acceso, … Otro punto interesante es que utiliza LinuxWRT, con el inconveniente de tener que aprender a manejar otro gestor de paquetes, el opkg (aunque la documentación ayuda también en este aspecto).

Entramos por ssh:

El ssh en Omega 2

En cuanto al uso, tengo sentimientos enfrentados: es pequeñita, barata y sencilla de poner en marcha. Pero cuando empezamos a trabajar con el modelo básico, casi no podemos hacer nada (por falta de espacio): para empezar, hay que elegir entre tener Git o Python, porque no hay espacio libre suficiente para los dos. Podríamos aumentar el almacenamiento disponible (y hay instrucciones para ello) pero sería mejor teniendo un puerto USB para conectarlo.

Entre sus características

  • Procesador 580MHz MIPS CPU.
  • Memoria 64MB (el Omega 2+ tiene 128) y 16 Mb de almacenamiento (32 en el caso del Plus).
  • b/g/n Wi-Fi
  • Varios puertos para conectividad con diversos sistemas externos.

Tiene USB 2.0, pero sin el dock no tendremos el conector.

El tamaño es pequeñito, la mitad de lo que ocupa el C.H.I.P. aproximadamente y un poquito más que un NodeMCU.

Comparando tamaños: C.H.I.P., Omega2, NodeMCU, Arduino, Pine64, Raspberry Pi

Una cosa que me preocupaba de estos aparatitos son las prestaciones. Son bastante limitadas y he preparado una tabla para que se vea mejor. La comparación se hará con una Raspberry Pi (Model B), un C.H.I.P., una Pine 64 y también he hecho comparaciones con un PC de escritorio viejo (fecha alrededor de 2008), y mi portátil, que también tiene unos cuantos años (fecha alrededor de 2011):

Dispositivo microsegundos/iteración Nº de cores bogomips Procesador
Raspberry Pi 5.944 1 697,95 ARMv6-compatible processor rev 7 (v6l)
Omega 3 3.916 1 385,84 MIPS 24KEc V5.5
C.H.I.P. 1.125 1 1001,88 ARMv7 Processor rev 2 (v7l)
Pine 64 624 4 624 AArch64 Processor rev 4 (aarch64)
PC Escritorio 204 1 6800,56 Intel(R) Pentium(R) 4 CPU 3.40GHz
Portátil 69 2 5382,47 Intel(R) Core(TM) i7-2620M CPU @ 2.70GHz

La conclusión para mi fue que estos cacharritos pueden cumplir un papel en muchos momentos (y lo cumplen) pero no debemos olvidar las limitaciones en cuanto a potencia, que no permitirían (aún) pensar en ellos como sustitutos de un computador de sobremesa (salvo que tengamos requisitos muy austeros).

El sistema utilizado para medir las ‘prestaciones’ es muy básico, utilicé el código que proporcionaban en Performance Comparison - C++ / Java / Python / Ruby/ Jython / JRuby / Groovy.

En esta serie hemos publicado hasta ahora:

Sobre la Raspberry no hice un primeros pasos.

Divulgación de vulnerabilidades en la industria del automóvil

Un coche Los fabricantes de automóviles han permanecido muchos años de espaldas a la informatización. Ahora empiezan a utilizarlo como argumento de ventas (esencialmente a través de sistemas de comunicación y entretenimiento) pero en medio la informatización de la instrumentación de los coches ha sido más o menos inevitable. Y la aparicion de fallos también, claro (ver Coches y ataques). La reacción de los fabricantes era, hasta hace no mucho, atacar a los investigadores pensando que así evitarían que se divulgase su conocimiento.

Por eso traemos aquí GM embraces white-hat hackers with public vulnerability disclosure program donde se decía cómo el conocido fabricante había decidido no perseguir a los investigadores que informaran sobre fallos de seguridad, mediante un programa de divulgación responsable de vulnerabilidades:

“We very highly value third-party security research,” Massimilla said. He explained that under the program, those third parties can reveal vulnerabilities they find with the guarantee that GM will work with them and not take legal action—as long as they follow the fairly straightforward guidelines posted on the program’s portal.

Almacenamiento seguro de contraseñas

Sistemas de almacenamiento Primero, que quede clara una cosa: las contraseñas no se almacenan, se almacena una transformación unidireccional que permita comprobar que la persona que la utiliza la conoce, pero que impide (en la medida de lo posible) que el que nos pudiera robar los datos los utilice de manera directa.

En Storing Passwords in a Highly Parallelized World hablan de un tema al que se le está prestando mucha atención en los últimos años: no se trata sólo de almacenar las contraseñas de manera que sean ilegibles, sino que hay que tener en cuenta los ataques que pueden sufrir si alguien consigue acceder a la información y atacarla en condiciones favorables. En ese sentido, se favorecen métodos que añaden coste computacional (cuando se trata de una sola contraseña, con la clave correcta, es un coste asumible; si se trata de hacer pruebas empieza a ser interesante desde el punto de vista defensivo):

bcrypt is a password hash. The difference to cryptographic hashes like SHA-1 is that it adds a computational cost to password hashing. In other words: it’s intentionally slow. The reasoning is that if someone steals the hashes of the passwords of your customers, it’s going to be much more expensive to compute the passwords (which are probably also the passwords to their e-mail accounts) to those hashes.

Luego habla de una competición para generar nuevos métodos de hash criptográficos y del ganador, haciendo algunas pruebas de demostración en Python:

Argon2 is a secure, memory hard password hash. It comes in two variants but for password hashing only the side-channel hardened Argon2i is relevant. On 2015-11-05, an IETF draft has been submitted in order to make it an official Internet standard ASAP.

Números aleatorios seguros en Javascript

Aleatorio Otra nota sobre números aleatorios seguros. En este caso nos avisaban en V8 Javascript Fixes (Horrible!) Random Number Generator sobre un error en la forma de generar números aleatorios en Javascript que tiene el interés de proporcionar una explicación general bastante buena, como alguien encontró el fallo al encontrar una colisión en un identificador de sesión (tan sólo un mes después de empezar) y cómo los programadores eligieron la versión incorrecta de un método que no estaba mal.

En TIFU by using Math.random() cuentan los detalles sobre la historia en primera persona. Sin olvidar que estaban utilizando un generador de números aleatorios que no era criptográfico.

De paso, podemos probar el generador de nuestro navegador en este generador de imágenes aleatorias.

Obsolescencia de algoritmos criptográficos vs realidad

 Algunos trucos para esconder programas maliciosos En SHA-1 Deprecation: No Browser Left Behind nos hablan sobre la obsolescencia del algoritmo de hash criptográfico SHA1 con algunos datos como lo que costaría hoy en día generar colisiones (recordemos que en un algoritmo de hash el poder genera un mensaje diferente que tenga el mismo ‘resumen’, esto es, encontrar colisiones es uno de los principales problemas de seguridad):

Computers keep getting faster and now SHA-1 is increasingly vulnerable to potential collision attacks. The estimate today is that it would likely cost around USD$700,000 to generate a SHA-1 collision. By 2021, the price is forecast to fall to just USD$43,000.

También hacen algunos cálculos de cuánto se utiliza su sucesor, [SHA2]/(https://en.wikipedia.org/wiki/SHA-2):

To understand the impact, we spent the last few weeks testing browser connections to CloudFlare’s network for SHA-2 support. We see approximately 1 trillion page views for more than 2.2 billion unique visitors every month, which gives us a pretty representative sample of global traffic.

Y la conclusión es que podrían utilizar este algoritmo un 98.1% de los navegadores observados por ellos que puede parecer mucho pero, en sus cuentas, deja fuera a un nada despreciable número de más de 37 millones de personas. En Estados Unidos la cosa sería un poco mejor:

The United States has 99.26% SHA-2 support, making it the 15th most modern browser market (out of more than 190 countries we saw traffic from during our test). In fact, SHA-2 support in Western Europe and North America is universally over 99%.

pero, desde luego, no el mejor de los sitios con acceso a esta tecnología (15 puesto en el ranking de navegadores más modernos).

Lamentablemente, en la cola de esta lista están algunos de los países que probablemente necesitarían tener mejores sistemas de seguridad.

Unfortunately, this list largely overlaps with lists of the poorest, most repressive, and most war torn countries in the world. In other words, after December 31st most of the encrypted web will be cut off from the most vulnerable populations of Internet users who need encryption the most.

Y, claro, esto tiene como consecuencia que sitios como Alibaba o Facebook que quieren tener clientes en esas zonas menos protegidas admitan utilizar los algorimtmos menos seguros (lo que puede afectar a todo el mundo).

For instance, Alibaba, the Chinese Internet commerce giant, supports SHA-1 fallback across many of its sites. That’s not surprising given more than 6% of their Chinese customers could not securely buy from their online store if they only supported SHA-2.

Facebook also supports SHA-1 fallback across many of their sites.

Interesante.

Condiciones de carrera

Carrera Un texto introductorio sobre las condiciones de carrera: cuando varios procesos acceden a un recurso compartido de forma que se pueden producir resultados diferentes según la temporización con que se ejecute el código. Lo cuentan en Practical Race Condition Vulnerabilities in Web Applications y me pareció un texto que valía la pena guardar por las explicaciones, ejemplos y métodos de resolución para evitar el problema.