Cifrado de archivos PDF

¿Es seguro proteger un PDF con el número (y letra) del DNI?

Spoiler: Es absolutamente seguro que se descifra en menos de 5 minutos con un ordenador lento.

Tengo un correo de GMail con un nombre sencillo, por lo que es bastante común que la gente dé mi correo en vez del suyo. A este correo me han llegado cosas que ni imaginaríais que se «pueden» enviar por email.

La sorprendente lista de cosas que me llegan:

Así, que recuerde de forma rápida, lo más sorprendente ha sido: bases de datos corruptas de hoteles, listados de teléfonos, categorías profesionales (y creo que salarios) de un servicio de policía de un país latinoamericano, expediente disciplinario a una policía del mismo país, los planos del edificio Torrespaña para hacer una reforma a los platós del ¿telediario?, extractos bancarios y de tarjetas de crédito, contratos con compañías eléctricas…

Evidentemente procuro borrar todo cuanto antes y avisar al destinatario o a la persona implicada, pero a veces lo ponen bastante complicado con direcciones de tipo noreply / noresponder (no supervisadas) o si llamo a la empresa, me dicen que no van a buscar por email (sic) y que voy a seguir recibiéndolos.

La última con una dirección de no-reply ha sido Mapfre, que prudentemente y antes de enviar la documentación para la renovación, la cifra con contraseña. Pero no todo es oro lo que reluce y como bien ponen:

Sin más pistas y dado que tengo nombre compuesto y habían acertado con él (no especificaban apellidos) miré si era para mi, dado que había pedido un presupuesto hacía poco a esta compañía. Al ver que no se abre y por si acaso se hubiesen confundido (o de email con otro cliente o escribiendo mi DNI y fuese realmente para mi) busco como descifrar un PDF.

Un archivo PDF puede tener dos tipos de claves: Una de usuario (user) necesaria para abrir el archivo, ya que lo cifra y lo protege y otra de propietario (owner) para proteger sus propiedades: copiar, imprimir… que básicamente no sirve de nada salvo molestar.

No voy a entrar en la longitud y tipo de cifrado, si es un PDF nuevo, debería estar protegido con un cifrado AES-256 al menos, este artículo es menos técnico, simplemente me centro en claves inseguras.

Las herramientas necesarias para descifrar PDF

Leer más

Glacier y tartarus

Esto es un minimanual de como utilizar la herramienta de backup tartarus con amazon glacier.

Definiciones previas:

Tartarus (http://wertarbyte.de/tartarus.shtml) es un inteligente script escrito en bash que sirve para hacer copias de seguridad. Es muy versátil y debido a sus conectores permite usar desde SCP, FTP, FTPS, rsync y casi cualquier otra herramienta de copia. Este script hace un tar del directorio indicado y lo comprime en gzip o bzip además de poder cifrarlo con GNUpg, además, llamándolo con la opción -i (incremental) permite transmitir y guardar en un nuevo fichero sólo los cambios.

Si disponemos de LVM, podremos crear snapshots durante la copia de seguridad y consolidarlos después de la misma para hacer un backup en caliente de datos que están cambiando.

Por otro lado, glacier (http://aws.amazon.com/glacier/) es un servicio de almacenamiento en la nube bastante barato. Con un coste aproximado de un centavo de dólar por giga al mes a octubre de 2013. No obstante, su bajo coste trae aparejado una merma de funcionalidad: Las tareas de recuperación de archivos tardan varias horas, no almacena nombres de archivos sino descripciones de los mismos y las tareas de inventario (listar ficheros) deben solicitarse y también tardan varias horas.

Leer más

Grub2 + UEFI + secureboot + fedora 18 + windows 8

Hace falta seleccionar el archivo .efi de microsoft llamado bootmgfw.efi para cargar Windows 8 en BIOS con sistema EFI/UEFI.

menuentry "Windows 8" {
insmod part_gpt
insmod chain
set root='(hd0,gpt2)'
chainloader /efi/Microsoft/Boot/bootmgfw.efi
}

Tanto tiempo sin trastear con grub y más que espero pasar, lo dejo aquí para mi futura referencia. Espero que a alguien le sirva.

Cambiar etiqueta (label) de memoria USB en linux

Estuve luchando con mtools y con 3 o 4 cosas más cuando lo simple es usar dosfslabel. Si a alguien más le pasa que no pierda 10 minutos leyendo y use el comando dosfslabel.

# dosfslabel /dev/sdXX nueva_etiqueta

Esto permite cambiar la etiqueta de vuestra memoria USB o de cualquier disco en fat.

Una sugerencia para fedora/ubuntu o gnome: Hay que incluir el cambio de etiqueta en las propiedades de la unidad. Incluso el administrador de discos no me dejaba renombrar la unidad.

Wake On Lan (WOL) en placa Gigabyte

La placa Gigabyte con tarjeta de red: Realtek Semiconductor Co., Ltd. RTL8111/8168B. Además de Wake On Rign/Wake on Modem (WOR/WOM) soporta Wake On Lan (WOL).

He aquí los sencillísimos pasos para que el «paquete mágico» encienda vuestro ordenador:

1) Activar WOM/WOR en la BIOS (por si acaso).

2) Activar modo WOL para siguiente vez:

ethtool -s eth0 wol g

3) Editar /etc/init.d/halt y en la línea que pone:

halt -d -f -i $poweroff $hddown

sustituirla por:

halt -d -f $poweroff $hddown

Es decir, quitar el «-i» que según la documentación de halt apaga los interfaces de red y en linux (repito, según la docuemntación de halt) «no es necesario porque lo hace el kernel».

4) Editar /etc/rc.local que es el archivo que se ejecuta al inicio y antes de la línea que pone «exit 0» ejecutar el mismo comando que antes para permitir en cada arranque el WOL.

ethtool -s eth0 wol g

5) Apagar el ordenador.

6) Desde otro ordenador que pueda mandar un «paquete mágico» al broadcast de la red en que se encuentre nuestro ordenador apagado usar el script wakeonlan (yo lo usé desde gentoo):

$ wakeonlan 00:01:02:03:04:05

Sustituir 00:01:02:03:04:05 por la MAC de vuestra tarjeta de red, et voilá, vuestro ordenador se encenderá «mágicamente».

La MAC la podéis conseguir desde vuestro ordenador por medio del comando /sbin/ifconfig

Instalando mailman en debian

Hoy me ha sorprendido gratamente lo fácil y sencillo que es instalar y configurar de forma muy básica mailman (un gestor de listas de correo). Lo he instalado en debian con soporte para leer las listas en apache y usando postfix como MTA.

Tan sencillo como:

apt-get install mailman 

Y contestar a unas sencillas preguntas. Luego editar /etc/mailman/mm_cfg.py para cambiar las rutas por defecto y el nombre del host en caso que sea necesario (para que por ejemplo vaya por SSL utilizando https://secure.tudomnio.tld/pipermail/.

Leer más

GOsa: Administración de cuentas y sistemas en LDAP

GOsa es una herramienta gráfica vía web muy interesante que permite gestionar una ldap y crear cuentas de sistema: Unix, samba, correo, proxy, intranets, etc con muchas opciones.

Además, provee a los usuarios finales de un panel de control para que vean sus datos y cambien su clave, etc.

Hasta ahora, para la gestión de directorios LDAP yo usaba phpldapadmin (que no es precisamente la herramienta más completa pero sirve para explorar un ldap e incluso añadir datos de determinadas estructuras por defecto y facilita algo la vida). Sin embargo, en cuanto a lo que gestión de cuentas vía un interfaz web se refiere, GOsa, es lo mejor que he visto hasta ahora.

Leer más

Lighttpd con SSL

Todos los servidores web suelen tener métodos bastante estándares para añadir SSL, lo típico cuando se usa OpenSSL es (como ya he explicado en otro articulo anterior):

Generar la clave privada:

openssl genrsa -out serhost.com.key 1024

Generar la solicitud de certificado:

openssl req -new -key serhost.com.key -out serhost.com.csr

Ahora queda o bien enviar esa solicitud a una entidad certificadora (que nos cobrarán: 10$ (registerfly), 20$ (godaddy) a otros precios menos razonables como verisign que intentará cobrar más de 350$ por certificado, todas las compañías hacen lo mismo, pero unas tienen «mas nombre» que otras).

La otra opción es optar también por una entidad certificadora gratuita (cacert.org) que ya no está reconocida ni siquiera por firefox, para lo cual, mejor, autofirmamos nuestro certificado (nos dará un aviso que el certificado no está firmado por una autoridad certificadora de confianza, pero podemos aceptarlo de forma permanente).

Actualización: Desde que se creó este artículo, existen alternativas gratuitas como por ejemplo: letsencrypt.

Para firmarlo y obtener un crt:

openssl x509 -req -days 365 -in serhost.com.csr -signkey serhost.com.key -out serhost.com.crt

Ahora necesitamos el certificado en formato .pem (el .pem no es más que el archivo .key y a continuación el archivo .crt), luego los concatenamos:

cat serhost.com.key serhost.com.crt > serhost.com.pem

En mi caso he guardado todos estos archivos:

  • serhost.com.key
  • serhost.com.csr
  • serhost.com.crt
  • serhost.com.pem

En un directorio: ssl-certs, de modo que tengo todo un poco más clasificado, hay que recordar darles los permisos adecuados (que el propietario sea el usuario con que se ejecuta lighttpd y solo puedan ser accedidos por él).

Una vez tenemos todo esto (vamos a suponer que en: /etc/lighttpd/ssl-certs) editamos el fichero de configuración de lighttpd (que suponemos está en: /etc/lighttpd/lighttpd.conf) y añadimos al final:

var.confdir = "/etc/lighttpd"
$SERVER["socket"] == "127.0.0.1:443" {
ssl.engine = "enable"
ssl.pemfile = var.confdir + "/ssl-certs/serhost.com.pem"
server.name = var.confdir + "serhost.com"
server.document-root = "/var/www/localhost/htdocs/"
}

Las opciones creo que son autoexplicativas, también se puede establecer la opción:

ssl.ca-file = var.confdir + "/entidadcertificadora.crt"

que indicaría donde se encuentra el certificado con que ha sido firmado nuestro propio certificado.

Por último, comentar que lighttpd soporta PHP, python, perl, ruby, y que tiene soporte para virtualhosts y diferentes módulos útiles: mod_proxy, mod_auth, mod_alias, mod_cache, mod_deflate, mod_cgi, mod_accesslog, mod_rewrite, etc, además, sus fuentes comprimidos ocupan unos 700 KB y parece ser que funciona más rápido que apache, una vez compilado a mano con todas las librerías y el man correspondiente ocupa menos de 2 megas (tras pasarle el comando strip).

Más información:

  • Configuración extraída y adaptada de: http://www.varlogarthas.net/blog/2007/03/installing_a_godaddy_ssl_certi.html (el enlace ya no funciona)
  • Lighttpd: http://www.lighttpd.net