Veracrypt y contenedores cifrados en GNU/Linux sin instalarlo

Motivación de uso de Veracrypt

Veracrypt ayuda a proteger tus datos. Aunque el uso de memorias USB no es tan habitual como hace unos años, hay casos en los que no queda más remedio que llevar datos que pueden ser sensibles como contraseñas o datos personales sujetos a protección.

Si eres un fan de los artículos para gente sin tiempo, ve directamente a la receta para la activación de Veracrypt.

Leer más
Placa base. Vulnerabilidad LogoFail

LogoFail / LogoFAIL

¿Qué es Logofail?

LogoFail es una vulnerabilidad capaz de permitir la ejecución de un virus virtualmente indetectable y resistente al formateo de disco. Hoy en día existen diversas pruebas de concepto (PoC) sin embargo no se conoce que esté siendo explotada de forma activa.

Un poco de historia: BIOS y UEFI

Antes de 2006, para arrancar un ordenador, un pequeño chip con un pequeño programa llamado BIOS (Basic Input Output System) detectaba el procesador, la memoria RAM, los discos, escogía el primer disco y trataba de cargar el sistema operativo, así hasta que empezaba la carga o bien no quedaba ninguna unidad más por analizar.

Leer más
Yubikey configuración en GNU/Linux

Yubikey en GNU/Linux Debian para gente sin tiempo

Receta básica de instalación y configuración de la llave yubi o Yubikey en GNU/Linux. Incluye los programas para que la llave funcione como autenticador de doble factor y como interfaz PIV (Personal Identity Verification)  smartcard o tarjeta inteligente.

Paquete básico:

sudo apt install libu2f-udev

Copiar el archivo: https://github.com/Yubico/libfido2/blob/main/udev/70-u2f.rules dentro de: /etc/udev/rules.d/

sudo wget -O /etc/udev/rules.d/70-u2f.rules https://raw.githubusercontent.com/Yubico/libfido2/refs/heads/main/udev/70-u2f.rules

Es conveniente reiniciar el equipo para que coja la configuración y es más fácil que andar reiniciando demonios/servicios.

Básicamente para lo que sirve es para que reconozca el dispositivo cada vez que lo conectamos por USB. Esto lo reconocerá como un dispositivo de autenticación U2F en todos los navegadores. Yo lo he probado con Chrome y derivados y Mozilla Firefox.

Leer más
Cifrado de archivos PDF

¿Es seguro proteger un PDF con el número (y letra) del DNI?

Spoiler: Es absolutamente seguro que se descifra en menos de 5 minutos con un ordenador lento.

Tengo un correo de GMail con un nombre sencillo, por lo que es bastante común que la gente dé mi correo en vez del suyo. A este correo me han llegado cosas que ni imaginaríais que se «pueden» enviar por email.

La sorprendente lista de cosas que me llegan:

Así, que recuerde de forma rápida, lo más sorprendente ha sido: bases de datos corruptas de hoteles, listados de teléfonos, categorías profesionales (y creo que salarios) de un servicio de policía de un país latinoamericano, expediente disciplinario a una policía del mismo país, los planos del edificio Torrespaña para hacer una reforma a los platós del ¿telediario?, extractos bancarios y de tarjetas de crédito, contratos con compañías eléctricas…

Evidentemente procuro borrar todo cuanto antes y avisar al destinatario o a la persona implicada, pero a veces lo ponen bastante complicado con direcciones de tipo noreply / noresponder (no supervisadas) o si llamo a la empresa, me dicen que no van a buscar por email (sic) y que voy a seguir recibiéndolos.

La última con una dirección de no-reply ha sido Mapfre, que prudentemente y antes de enviar la documentación para la renovación, la cifra con contraseña. Pero no todo es oro lo que reluce y como bien ponen:

Sin más pistas y dado que tengo nombre compuesto y habían acertado con él (no especificaban apellidos) miré si era para mi, dado que había pedido un presupuesto hacía poco a esta compañía. Al ver que no se abre y por si acaso se hubiesen confundido (o de email con otro cliente o escribiendo mi DNI y fuese realmente para mi) busco como descifrar un PDF.

Un archivo PDF puede tener dos tipos de claves: Una de usuario (user) necesaria para abrir el archivo, ya que lo cifra y lo protege y otra de propietario (owner) para proteger sus propiedades: copiar, imprimir… que básicamente no sirve de nada salvo molestar.

No voy a entrar en la longitud y tipo de cifrado, si es un PDF nuevo, debería estar protegido con un cifrado AES-256 al menos, este artículo es menos técnico, simplemente me centro en claves inseguras.

Las herramientas necesarias para descifrar PDF

Leer más

Borrar certificados en firefox

Hace unos días he descubierto una particularidad del almacén de certificados de firefox, un bug conocido de hace mucho tiempo y aún sin corregir.

Cuando quieres borrar un certificado de usuario, si tienes establecida una clave maestra (es decir, si tienes protegidos tus certificados con clave) te dirá que te borra el certificado, pero no será cierto, te volverá a aparecer la siguiente vez que visualices los certificados.

Para borrar correctamente un certificado de usuario: Preferencias -> Seguridad -> Quitar el check de usar una clave maestra. Reiniciar el navegador y volver a Preferencias -> Avanzado -> Certificados -> Ver certificados.

Ahora si dejará borrarlos correctamente. Si no habéis reiniciado el navegador, el borrado de certificados será efectivo en el próximo cierre.

Algo curioso y que debería estar documentado o al menos advertido.

AVISO: Este artículo es antiguo y probado en versiones posteriores (de 2018) parece ya funcionar correctamente.

Glacier y tartarus

Esto es un minimanual de como utilizar la herramienta de backup tartarus con amazon glacier.

Definiciones previas:

Tartarus (http://wertarbyte.de/tartarus.shtml) es un inteligente script escrito en bash que sirve para hacer copias de seguridad. Es muy versátil y debido a sus conectores permite usar desde SCP, FTP, FTPS, rsync y casi cualquier otra herramienta de copia. Este script hace un tar del directorio indicado y lo comprime en gzip o bzip además de poder cifrarlo con GNUpg, además, llamándolo con la opción -i (incremental) permite transmitir y guardar en un nuevo fichero sólo los cambios.

Si disponemos de LVM, podremos crear snapshots durante la copia de seguridad y consolidarlos después de la misma para hacer un backup en caliente de datos que están cambiando.

Por otro lado, glacier (http://aws.amazon.com/glacier/) es un servicio de almacenamiento en la nube bastante barato. Con un coste aproximado de un centavo de dólar por giga al mes a octubre de 2013. No obstante, su bajo coste trae aparejado una merma de funcionalidad: Las tareas de recuperación de archivos tardan varias horas, no almacena nombres de archivos sino descripciones de los mismos y las tareas de inventario (listar ficheros) deben solicitarse y también tardan varias horas.

Leer más

CaptchaTrader.py resolving captchas

Another little project that I made some time ago but I forgot to mention: http://serhost.com/projects/captchatrader/.

You can also download it from github: https://github.com/jfsanchez/CaptchaTrader

CaptchaTrader.py is A VERY SIMPLE class written in python that resolves captchas using captchatrader.com web service. It is an example on how to consume web services in python.

I do not condone SPAM, there are several fair uses of this library that I can think of. If you try to use this for sending spam, better go to hell.

I have no relation with captchatrader.com except as a sporadic user.

UPDATE: CaptchaTrader service was closed shortly after I made this script.