Recientemente he recibido el que creo que es el primer ataque que lanzan contra este blog, algún amigo de lo ajeno ha conseguido la contraseña del usuario administrador, ha modificado algunos archivos de un plugin y ha colocado  un archivo con malas pulgas dentro del contenido del blog. Aparentemente no han roto nada más y creo que he conseguido repeler el ataque así que, a riesgo de enfadar más al atacante (que seguramente va a leer esto) os voy a contar mi experiencia por si le puede servir a alguien más.

Todo empezó cuando recibí un correo con este contenido

Contraseña perdida y cambiada para el usuario: dondado

Alguna otra vez había recibido correos de alguien que pedía el cambio de contraseña pero nunca de que efectivamente se había cambiado por lo que me preocupé y en cuanto tuve ocasión me puse a investigar qué pasaba. Descargué los logs de acceso al servidor apache y comienzo la investigación.

1. Retoma el control:

Entrar con el usuario y volver a pedir una nueva contraseña, una vez recibida acceder con ese usuario administrador al blog.
Desactivar todos los plugins por si han hecho cambios en ellos
Volver a cambiar la contraseña del administrador y ya de paso la cuenta de correo por si viene por ahí el fallo de seguridad.

2. Investiga qué ha pasado:

Acceder al log de acceso al servidor y buscar los accesos a wp-login.php y fijarse en la IP desde la que se han hecho el que se corresponda con la hora en que te llegó el correo del cambio de contraseña u otra hora en la que sepas que tú no has accedido.
Buscar todo lo que se haya hecho desde esa IP: en mi caso, además del cambio de contraseña, se ve que había modificado un plugin desde el editor de plugins de wordpress.
Con algún programa de comparación, compara los archivos que tenías (benditos backups) con los que han dejado los atacantes, así he detectado yo los cambios que habían hecho en el plugin simple-tags

3. Reforzar la seguridad.

A). Limitar los accesos al directorio wp-admin. Lo normal es que al panel de administración sólo entres desde tu casa, para ello basta con añadir, en el directorio /wp-admin/ un archivo con el nombre .htaccess con el siguiente contenido

Sustituyendo las xxx.xxx.xxx.xxx por tus direcciones IP desde las que quieras acceder a la administración, por ejemplo la de casa y la del trabajo.

Si no sabes tu dirección IP puedes visitar, por ejemplo, esta dirección http://whatismyipaddress.com/ donde te la dicen o, si tienes cuenta de GMail, en la parte inferior aparece tu IP y pinchando en "información detallada", un listado con las IPs desde las que has accedido últimamente a tu cuenta de gmail.
Ten en cuanto que muchos tenemos IPs dinámicas, es decir, que nuestro operador nos las cambia de vez en cuando, así que recuérdalo por si al cabo de unas semanas no consigues entrar ni siquiera tú. Una opción puede ser utilizar asteriscos en las dos últimos tramos de la IP, que es lo que suelen cambiar los ISP. La línea en ese caso te quedaría con la forma

B) Deshabilitar los editores internos de wordpress, el editor de plugins y el editor de themes. No sé vosotros, pero yo, salvo en contadas ocasiones no los utilizo, así que más vale
tenerlos deshabilitados y reactivarlos sólo cuando sean necesarios. Para deshabilitarlos hay que añadir la siguiente línea en el archivo wp-config.php

4. Volver a colocar las cosas en su sitio.

Hay que ser desconfiado y no dar por sentado que hemos encontrado todo lo que han modificado, más vale prevenir.
Volver a descargar todos los plugins desde la página de wordpress, borrar los que tienes instalados actualmente y volverlos a instalar.
Descargar la última versión de wordpress y volver a hacer una instalación limpia. Si como yo, además hacéis las actualizaciones de vuestro WP sólo de forma incremental es conveniente hacer esto de vez en cuando para eliminar posibles archivos que hayan quedado en desuso.

5. Paranoico de la seguridad

Si lo han intentado una vez es muy posible que vuelvan así que es mejor estar preparado esperándoles:

• Crea un nuevo usuario con permisos de administrador que sea distinto del que utilizas para escribir en el blog, una vez creado, identifícate con él y cambia los permisos de tu usuario normal, el que conoce la gente, para que sea tan solo editor. A partir de ahora tendrás que pensar qué vas a hacer cuando entres al blog, escribir, administrar entradas y comentarios  (para esto utiliza el viejo usuario que ahora sólo es editor) o cambios de plugins, opciones, aspectos... para eso sí tendrás que entrar con el nuevo usuario administrador.
• Cambia la contraseña de la base de datos del blog.
• Cambia la contraseña del correo electrónico que tienes asociado al usuario del blog.
• Cambia las claves secretas del wp-config.php:

Para generar unas nuevas visita el generador aleatorio de claves de WP y copia y pega sobre tus anteriores líneas del wp-config.php
Aún no he logrado averiguar cómo consiguieron acceso a mi blog en su primer intento (en el segundo no lo consiguieron). Puede que sea una vulnerabilidad no descubierta de wordpress aunque me inclino a pensar que sea algo más concreto de mi instalación, por ejemplo, las claves del wp-config.php no las cambiaba desde que las puse hace muchos meses (cuando salió la versión 2.6), quizá incluso tenía unas claves genéricas copiadas de algún sitio que les facilitaban conseguir la key para acceder a la administración. Quién sabe, espero no volver a llevarme sustos como este ¿Y tú, has sufrido algún intento de ataque de tu blog?.

Por último agradecer a la gente de Iteisa su interés y ayuda para conseguir salir de este entuerto.

Foto original de Dunechaser

Si estáis apuntados a alguno de ellos (BuyVip, privalia, Ofertix, Vente-Privée... ) estaréis acostumbrados a recibir muchísimos correos en los que anuncian las ofertas que tienen disponibles para ese día o esa semana. En estos correos vienen enlaces para entrar a las webs y pinchando en ellos entras identificado, como por arte de magia, sin haber dado tu usuario y contraseña; conseguir esto es técnicamente sencillo (la dirección en la que pinchas lleva incluida una clave que te identifica) pero si en otros sitios no se hace es por algo, por los problemas de seguridad que supone.

Imagina que entusiasmado por la oferta que te proponen reenvías el correo a una amiga, esa amiga pincha y listo, ya está identificada en BuyVip con TU usuario y por tanto con acceso a tus datos personales (nombre, dirección, edad...) y también a la lista de pedidos (¿recuerdas aquella prenda que compraste para regalarle por su cumpleaños?, pues dejó de ser sorpresa, ¿y aquella vez que decidiste comprarte un juguete erótico para dar una sorpresa a tu pareja? pues tu amiga sí que se ha llevado una sorpresa).

Y el peligro no es solo ese; el correo electrónico, tal y como lo usamos la mayoría, es un sistema de comunicación poco seguro, el contenido de los mails viaja de servidor en servidor con su contenido "en claro", sin cifrar. Cualquiera con acceso a esos servidores, o un "juanker" que instale un sniffer podrá leer esos correos y por tanto acceder a nuestras cuentas en estas webs de compras.

He podido comprobar que este mal comportamiento lo tienen, al menos, BuyVip, VipVenta y Ofertix. En el lado "correcto" Privalia, al menos en los correos que tengo guardados, sí te obliga a introducir usuario y contraseña.

El motivo de que utilicen este sistema de identificación es la búsqueda de la compra compulsiva, no quieren que se se te pasen las ganas de comprar en lo que recuerdas e introduces tu usuario y contraseñas (cada click de más que fuerzas a un cliente es una nueva oportunidad de que no llegue a terminar la compra), pero si de verdad queremos que el comercio electrónico ocupe el lugar que por comodidad que le corresponde, la seguridad debe ser una prioridad.

Esta misma semana se ha sabido que otra web de compras, que opera en Latino América, Geelbe, ha sido atacada, aparentemente por falta de rigor de sus administradores, y han robado las cuentas de correo y contraseñas de todos los usuarios, algo peligrosísimo si no llevamos una buena política de contraseñas para Internet.

Confiemos en que cambien de método de identificación, yo mientras tanto, he desactivado la recepción de emails en todas ellas, si me entran ganas de comprar algo ya iré a la web a identificarme. Y sobretodo, no reenviéis correos que os manden desde estas webs.

Foto original de blackheartking.com (xtyler)

La popularización de Facebook tenía que traer cosas como esta: la imagen anterior es un mensaje que he recibido hoy de uno de mis contactos en facebook; todo un señor troyano dispuesto a reproducirse de PC en PC.

El asunto del correo es: "tua foto?!!" y el texto "es esto realmente su foto ... seguido de un enlace", si pinchas sobre ese enlace te llevará a una página con aspecto de ser de Facebook

http:// auth.facebook.com.bodypix.net/id735rp/LoginFacebook.php

pero que en realidad (fíjate en la parte que he resaltado en negrita de la dirección anterior) pertenece a la web bodypix.net,  en la que te pedirán tu usuario y contraseña de Facebook para así quedárselas.

Si picas y metes tu dirección te lleva a una página en la que te puedes descargar un archivo photo.exe que contiene un troyano, y esta no es la primera vez que me encuentro con troyanos en facebook. Ejecutar el troyano, por muchas medidas de seguridad que tomo, me ha parecido demasiado experimento, así que no os puedo decir qué es lo que hace exactamente pero estad seguros de que nada que vaya a resultar agradable para la información que tenéis en vuestro ordenador.

Actualización: en lugar del photo.exe puede que lo que te ofrezcan para descargar sea un archivo pdf.pdf, en cualquier caso malicioso, no lo descargues y mucho menos lo abras, al menos si estás en sistemas Windows ya sea PC o móvil

¿Qué debo hacer?

Si has recibido el mensaje no pinches en el enlace que viene en él y avisa al remitente (será uno de tus contactos en facebook) de que tiene un troyano/virus en su ordenador.

Si es demasiado tarde, clickaste, y metiste allí tu usuario y contraseña de Facebook cámbiala inmediatamente.

Si además te descargaste el archivo photo.exe y lo ejecutaste... ejem, tienes un problema; más vale que tengas un buen antivirus, que lo tengas actualizado, y que hagas un scaneo en profundidad de tu PC y también te recomendaría que cambies todas aquellas contraseñas que tengas guardadas en el ordenador (en concreto las que tienes guardadas en el navegador de Internet) y básicamente las de todas aquellas webs a las que hayas accedido una vez "instalado" el troyano en tu ordenador.

En cualquier caso recomiendo tener una política de contraseñas que contenga cambios periódicos de contraseñas y contraseñas diferentes para cada web y como siempre desconfiar de cualquier mensaje que recibáis con palabras mal escritas o impropios de las costumbres de quien te los manda.

• Google anuncia el fin de la censura en sus páginas de resultados para China. Sabiendo cómo las gasta el gobierno chino lo más probable es que Google pase a estar fuera de "la Gran Muralla China", un sistema de filtrado de contenidos que escoge qué cosas sí y qué cosas no pueden ver los internautas chinos. El motivo de este cambio de rumbo es un ataque de hackers a activistas pro derechos humanos chinos presuntamente auspiciado por el Gobierno Chino
• EE.UU pide explicaciones a China por el ataque a Google. En este punto cabe recordar que Google apoyó económicamente la candidatura de Obama en las elecciones y no ocultó su deseo de que se impusiese a los republicanos. Una vez Obama en el poder, Google ha ganado cada vez más importancia dentro de las herramientas de trabajo en la administración de los estados unidos.
• Los atacantes utilizaron para asaltar esas cuentas de correo una "puerta trasera" que existe en GMail para permitir que el gobierno de Estados Unidos (sus cuerpos de seguridad) puedan leer información de los correos que intercambian esas cuentas (la justificacion la de siempre, garantizar nuestra seguridad y bla, bla... para cargarse la privacidad)
• Por el camino, como víctima colateral, sale trasquilado Internet Explorer; según parece fue un bug de versiones no actualizadas de este navegador, junto con otro fallo del Adobe Acrobat Reader lo que permitió el ataque. La consecuencia es que Alemania y Francia deciden recomendar a sus ciudadanos que no utilicen este navegador. El juego de espionaje industrial no ha gustado a estos dos países.
• La NSA (Agencia Nacional de Seguridad) comienza a ayudar a Google para prevenir ataques. Personalmente no me agrada mucho un acuerdo entre uno de los mayores recolectores de datos (la NSA) con la empresa que gestiona el software que más datos tiene recolectados (Google).
• Irán decide prohibir el acceso a GMail. Demasiadas intereferencias entre Google y el Gobierno Obama para un país que se está permitiendo jugar a provocar a la comunidad internacional confiando en que no se van a atrever a repetir con ellos los errores que cometieron en Irak.

Como podéis ver un lío curioso de países y corporaciones por ver quién gestiona la información, quien controla Internet que es donde está esa información y mientras tanto nosotros pensando lo importantes que somos y lo tranquilos que podemos estar porque nuestros proveedores de servicios web (GMail en este caso) velarán por nuestros datos.

Foto original de lamont_cranston

Facebook acaba de acometer su enésimo cambio de diseño, siguen intentando simplificar la interfaz y para ello han eliminado la barra inferior de la página llevando sus funcionalidades a una nueva barra superior que cada vez se asemeja más a una barra del navegador, el objetivo está claro, Facebook quiere que, para sus usuarios, Internet sea Facebook, que no haya que salir de allí para nada. Todavía no está activo en todos los usuarios pero no tardará en expandirse[*].

Al amontonar funcionalidades en esa barra superior han tenido que plantearse qué cosas quitan, el espacio en pantalla da para lo que da, y uno de los sacrificados ha sido el botón de salir, antes estaba en el extremo derecho de la barra superior y ahora está, desplegando las opciones de cuenta (parte superior derecha) en la última del submenú que se despliega. La conclusión es evidente, pocos usuarios van a cerrar sesión cuando dejen de utilizar facebook lo que conlleva problemas de privacidad y de seguridad.

¿Por qué hay que pulsar el botón de salir de las webs al terminar?

Empiezo por una pequeña explicación técnica del concepto de sesión de navegación. Al conectarnos a una web por lo general nos identificamos (usuario + contraseña) pero a partir de ese momento no nos vuelven a pedir esos datos en cada página que abrimos de esa web; tened en cuenta que estamos comunicándonos con otro ordenador a cientos de km de distancia y que está simultáneamente contetando a otros miles de internautas que han entrado por la misma página ¿cómo sabe que nosotros seguimos siendo nosotros cuando le volvemos a pedir una página? lo hace mediante la sesión, cada vez que volvemos a pedir una página nuestro navegador le envía un dato que le indica cuál es nuestra sesión, y esa sesión se creó al identificarnos (por lo general la sesión se guarda en una cookie o en el navegador, pero hay otras variantes y tampoco son muy relevantes para este post). Al pulsar el botón salir de una web lo que hacemos es destruir esa sesión que creamos al identificarnos.

Problemas de privacidad: cualquiera que llegue después de ti al ordenador en el que no has pulsado el botón de salir, podrá retomar la navegación donde tú la dejaste, es decir, podrá entrar a facebook, sin que le pidan contraseña y operando como si fueses tú. Si eres de los que defiende a capa y espada que "no tienen nada que ocultar" desengáñate, todos tenemos algo que ocultar según a qué persona.

Problemas de seguridad: la sesión la tiene guardada el navegador, un agujero de seguridad en el mismo, y no hay mes en el que no aparezcan varios para cualquier navegador, puede abrir la puerta a que consigan tu sesión desde una página que visites, y con eso conseguir hacerse pasar por ti.

La seguridad debe ser primordial

Una de las máximas del diseño web es que todo tiene que ser muy fácil, los usuarios no deben perderse en lo que buscan, pero la seguridad no es un parámtero que nos podamos permitir perder de vista. Lo que más dificulta la entrada de nuevos internautas a la web es el miedo a lo desconocido derivado de las muchas historias de terror que se oyen sobre Internet, historias que generalmente tienen poco de cierto pero que suelen ser una hipérbole de pequeños problemas de seguridad; evitando problemas de seguridad evitaremos esas terroríficas leyendas urbanas.

Mientras tanto cuidemos nosotros de nosotros mismos, nos cuesta poco buscar el botón de salir cuando decidimos abandonar una web (por ejemplo del sitio en facebook de dondado. )

[*] No todos los usuarios vemos la misma interfaz de facebook (ni de otras webs), por quién sabe qué criterios estamos incluidos en perfiles de usuarios y los cambios se van activando paulatinamente en cada uno de esos perfiles.

los backups son importantes

Cada vez tenemos más datos en Internet, correo, redes sociales, fotos, vídeos, blogs.... confiamos en nuestros proveedores pese a que en la mayor parte de los casos no nos cobran por el servicio que prestan pero las pérdidas de datos existen, y cuanto más centralizada esté la red, más importancia tendrán cada vez que se produzca una. Por ello es imprescindible que, además de confiar en nuestro proveedor con la mano derecha, con la izquierda hagamos nuestros propios backups, antes o después nos ahorrará un disgusto, ya sea por fallo del proveedor o por metedura de pata nuestra.

Las cosas de las que yo hago backup con cierta regularidad son las siguientes:

• Marcadores del navegador (favoritos en IE): en Firefox, que es el que yo uso se hace en Marcadores --> Organizar Marcadores --> Importar y Respaldar --> Exportar html
• Lista de contactos de GMail: En GMail --> Contactos --> Exportar (zona superior derecha) Ante la duda los exporto en los tres  formatos que permite
• Correos de GMail u otros servicios web: de vez en cuando hay que dejar correr a zimbra para que haga una copia en local de los correos que tenemos en la web.
• Facebook: lamentablemente no ofrece posibilidad de respaldo (secuestro de datos se llama a eso) pero hay algunas aplicaciones externas que lo permiten. De la mayoría yo no me fío, pero en Blogoff nos cuentan como respaldar, al menos, el calendario de cumpleaños de nuestros contactos.
• Google Reader, suscripciones: Settings (configuración) --> Import/Export --> click en "Exportar como OPML"
• Google Docs: seleccionas los que quieres respaldar y en "más acciones" tienes la opción de exportar. Elige el formato que más te convenga.
• Google Calendar: configuración --> calendarios --> exportar
• Cuenta Google: en general google ofrece en casi todos sus servicios la posibilidad de exportar tus datos, un punto a favor de la gente de Mountain Valley. Estaría bien que añadiesen está opción en el dashboard (recopilatorio de la información que Google tiene de ti) para tenerlo todo más a mano.
• Blogs con alojamiento propio.
  • Base de datos. En PhpMyAdmin --> seleccionas la base de datos --> Pestaña exportar --> en la parte inferior "generar un archivo descargable"
  • Contenido de Wp-Content/Uploads y también, con menos frecuencia, de todo el contenido de wp-content e incluso del FTP completo.
• Adsense: muestra un informe de todo el período del que quieras hacer una copia de seguridad y pulsa en "csv" (parte derecha de la pantalla).

Créate una rutina de backups con la periodicidad que consideres según el servicio y podrás estar más tranquilo o al menos tener más recursos si algún día metes/meten la pata.

¿Conoces más servicios web que permitan sacar copias de sus datos de forma fácil?.

Foto original de godog