Apr
10
2014
0

Acerca del fallo Heartbleed.
Escrito por nomikos el 10/Apr/2014

heartbleed

Nota preliminar:

Este es post es para programadores o administradores de sitios.

Para usuarios te puedo decir que ya hoy los mayores servicios que usas como gmail, yahoo, facebook, etc, ya deben haber resuelto este problema en sus servidores. Pero que aún así tu debieras cambiar tus password en cada uno de ellos.

Yo creo que esto es especialmente grave en cuentas de banco más que en redes sociales. Pero eso depende de tí.

Ya que si cualquiera de esos sitios fue atacado mientras efectivamente eran vulnerables a este fallo (cosa que no es segura pero que como usuarios no podemos saber) entonces tus passwords y otra información sensible podrían haber sido robadas por delincuentes.

Porque desde ya y entérate de una vez por todas, nada hay que introduzcas en un computador que sea privado para las grandes corporaciones o gobiernos).


Que cómo se todo esto? Qué si me creo Bruce Lee o algo así?:

No soy especialista en seguridad ni de lejos. Lo que pasa es que en “StackOverflow” me han estado dando como bombo en fiesta por preguntón (Así que he tenido que averiguar bastante por mi mismo):

http://stackoverflow.com/questions/22974150/a-quick-fix-to-deal-with-openssl-heartbleed-bug


Qué es:

Para simplificar, es un fallo alojado en algunos servidores web que sirven páginas seguras (https://) que permite a delincuentes informáticos robar información personal supuestamente segura: passwords, números de tarjetas de crédito, etc.

Este fallo Heartbleed bug, se introdujo accidentalmente en OpenSSL versión 1.0.1, que fue lanzado el 14 de marzo 2012. Permaneció presente a través de la versión 1.0.1f (inclusive) y se arregló en 1.0.1g, lanzado el 07 de abril 2014.

Cualquier sitio que esté usando esas versiones, es factible de ser atacado. Lo que no necesariamente significa que lo haya sido. Aunque sobre esto no hay forma de saber si se produjeron o no robos.

Es cierto que ha afectado a casi 2/3 te Internet?:

NO. OpenSSL es usado en 2/3 partes de los sitios web actualmente, pero como vimos sólo algunas versiones fueron afectadas.

Test:

En línea: Puedes testear un sitio (tuyo o cualquiera) en http://filippo.io/Heartbleed/

Via SSH asegúrate que tu versión no está entre las afectadas:

1
2
$ openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

Versiones afectadas son 1.0.1 y 1.0.2-beta incluyendo 1.0.1f y 1.0.2-beta1.

Si estas entre los afectados puedes usar esta herramienta para asegurarte de ello https://github.com/FiloSottile/Heartbleed

Solución:

Si tu servidor ha sido afectado, tienes harta pega por delante. En todo caso esto no significa que hayas sido atacado, pero obviamente estás en riesgo. Al menos deberás:

1) Actualizar a la última versión de openssl:

En Debian/Ubuntu:

1
2
sudo apt-get update
sudo apt-get upgrade openssl

En Centos:

1
yum clean all && yum update "openssl*"

Asegúrate de que instalarás openssl-1.0.1e-16.el6_5.7 o posterior o openssl-1.0.1g

2) Revocar y rehacer certificados SSL.
3) Pedir a tus usuarios que reseteen sus passwords (permisito dijo monchito).


Más info:

  • http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
  • OpenSSL Security Advisory [07 Apr 2014]
  • http://security.stackexchange.com/questions/55217/which-services-are-affected-by-heartbleed
  • Written by nomikos in: Linux,Servidores web |
    Mar
    28
    2014
    0

    Reportar como spam (correo basura) toda invitación a redes que no quieres evitar pertenecer.
    Escrito por nomikos el 28/Mar/2014

    Es común que las redes sociales acaparen más usuarios enviando en tu nombre invitaciones a todos tus contactos. Supongamos que es con tu consentimiento siempre.

    Lo que te quiero advertir es sobre un engaño muy común. Cuando te llegan invitaciones de redes a las que no perteneces te dan la opción de “desuscribirte”.

    No! eso es un truco. No sigas ningún link dentro de la invitación. Tan sólo reporta como Spam (correo basura). De esta manera lo borraras de tu INBOX y el agente de correo que estés usando (gmail, yahoo, etc) se encargará de bloquear posteriores mensajes.

    Screenshot - 03282014 - 09:25:47 AM

    Written by nomikos in: Tips y trucos cortos |
    Mar
    26
    2014
    0

    SSH autologin en servidores 1and1
    Escrito por nomikos el 26/Mar/2014

    1and1 tiene un sistema muy particular de acceso via SSH, parece más seguro, pero es un coñazo en todo caso. Lo odio.

    Como root haz:

    1
    2
    3
    4
    5
    6
    mkdir /var/www/vhosts/youruser/.ssh
    vi /var/www/vhosts/youruser/.ssh/authorized_keys2
    // pega tu llave pública
    chmod 700 /var/www/vhosts/youruser/.ssh
    chmod 600 /var/www/vhosts/youruser/.ssh/authorized_keys2
    chown -R youruser /var/www/vhosts/youruser/.ssh

    Ahora ya puedes hacer:

    1
    ssh youruser@host

    ssh - 03262014 - 02:21:23 PM

    Jan
    30
    2014
    0

    Node.js: depurando aplicaciones node.js en Google Chrome
    Escrito por nomikos el 30/Jan/2014

    Instalar debugger:

    1
    $ npm install -g node-inspector

    Arrancar aplicación con la opción debug

    1
    $ node --debug app.js

    Correr debugger

    1
    2
    3
    4
    $ node-inspector
    Node Inspector v0.7.0-2
       info  - socket.io started
    Visit http://127.0.0.1:8080/debug?port=5858 to start debugging.

    En Google Chrome ir a http://127.0.0.1:8080/debug?port=5858

    Screenshot - 01302014 - 02:06:41 PM

    +info: https://npmjs.org/package/node-inspector

    Written by nomikos in: Herramientas para programación web,MEAN |
    Jan
    28
    2014
    0

    Ocio :) como poner juegos online en flash a pantalla completa.
    Escrito por nomikos el 28/Jan/2014

    Usemos como ejemplo: http://flashgames312.com/renegade-racing/

    1) Estando en la página del juego elige “Ver fuente de página”.
    2) Busca el término “.swf”
    3) Encontrarás algo como esto:

    embed src=”http://flashgames312.com/1/renegade-racing/renegade_racing_1.swf”

    4) Ahí tienes la dirección que necesitas pequeño saltamontes:

    http://flashgames312.com/1/renegade-racing/renegade_racing_1.swf

    Screenshot - 01282014 - 08:34:22 PM

    Será algo similar en otras páginas. Si la dirección no empieza con http://:

    1
    /1/renegade-racing/renegade_racing_1.swf

    entonces agrega la dirección de la página tu mismo:

    1
    http://flashgames312.com/1/renegade-racing/renegade_racing_1.swf

    So…. let’s fucking play right fucking now! / 8)

    Written by nomikos in: Tips y trucos cortos |
    Jan
    28
    2014
    0

    mean: Socket.io permite hacer que las aplicaciones web funcionen en tiempo real.
    Escrito por nomikos el 28/Jan/2014

    En el servidor:

    1
    2
    3
    4
    5
    6
    7
    var io = require('socket.io').listen(80);
    io.sockets.on('connection', function (socket) {
      socket.emit('news', { hello: 'world' });
      socket.on('my other event', function (data) {
        console.log(data);
      });
    });

    En el cliente:

    1
    2
    3
    4
    5
    6
    7
    8
    <script src="/socket.io/socket.io.js"></script>
    <script>
      var socket = io.connect('http://localhost');
      socket.on('news', function (data) {
        console.log(data);
        socket.emit('my other event', { my: 'data' });
      });
    </script>

    Este simple tipo de procedimientos permiten actualizar el navegador instantáneamente. Util para chats, despliegue de informes o logs, juegos. Etc…

    ref: http://socket.io/#how-to-use

    Written by nomikos in: MEAN |
    Jan
    10
    2014
    0

    Autocompletación para git
    Escrito por nomikos el 10/Jan/2014

    Si tienes instalago git, entonces ya tienes la habilidad para autocompletar comandos y ramas. Pero debes habilitarlo.

    En Centos y Debian/Ubuntu agrega a tu ~/.bashrc:

    1
    source /etc/bash_completion.d/git
    Written by nomikos in: Git |
    Dec
    31
    2013
    0

    Cambio de hora en servidor remoto
    Escrito por nomikos el 31/Dec/2013

    Esto lo hice para poder ver la hora correcta en logs cuando depuro.

    En Centos:

    1
    2
    3
    4
    5
    6
    # date
    Tue Dec 31 09:18:06 EST 2013
    # mv /etc/localtime /etc/localtime.bak
    # ln -s /usr/share/zoneinfo/America/Santiago /etc/localtime
    # date
    Tue Dec 31 11:18:10 CLST 2013

    En Debian, te dara una interfaz gráfica para seleccionar:

    1
    2
    3
    4
    5
    # dpkg-reconfigure tzdata
    ... interfaz gráfica ...
    Current default time zone: 'Etc/UTC'
    Local time is now:      Tue Dec 31 12:01:07 UTC 2013.
    Universal Time is now:  Tue Dec 31 15:01:07 UTC 2013.
    Written by nomikos in: Servidores web |
    Oct
    05
    2013
    0

    git: Borrar branchs / ramas
    Escrito por nomikos el 05/Oct/2013

    Borrar rama local:

    1
    git branch -d local_branch

    Borrar rama remota:

    1
    git push origin :remote_branch

    Ejemplos:

    1
    2
    3
    4
    5
    6
    7
    8
    git branch -d i18respuestaPredefinida i18temp
    Deleted branch i18respuestaPredefinida (was 101eb79).
    Deleted branch i18temp (was ad6a3d8).

    git push origin :i18respuestaPredefinida :i18temp
    To ssh://git@bitbucket.org/NomikOS3/repo.git
     - [deleted]         i18respuestaPredefinida
     - [deleted]         i18temp
    Written by nomikos in: GnuCash,Herramientas para programación web |
    Sep
    15
    2013
    0

    linux: Buscar un string/cadena/texto/palabra en todos los archivos de un directorio/carpeta dada.
    Escrito por nomikos el 15/Sep/2013

    Puedes usar grep con la opcion -rI (recursive, ignore binary files), por ejemplo buscar foreach:

    1
    2
    3
    4
    grep -rI 'foreach' /var/www/apache/codeigniter/
    /var/www/apache/codeigniter/disqus-comment-system/manage.php:endforeach;
    /var/www/apache/codeigniter/disqus-comment-system/manage.php:<?php foreach (dsq_options() as $opt) {
    /var/www/apache/codeigniter/disqus-comment-system/manage.php:foreach (get_plugins() as $key => $plugin) {
    Written by nomikos in: Linux,Servidores web |
    profile for NomikOS at Stack Overflow, Q&A for professional and enthusiast programmers

    motor: WordPress. tema: TheBuckmaker modificado por NomikOS.