Seguridad decente (Parte III) – Cerrando ventanas; bajando persianas

M.R 06/03/2019

En la tercera y última entrega de esta miniserie echamos un ojo a cuatro herramientas no tan conocidas:

  1. Psiphon para evitar la censura
  2. KeepassXC para gestionar contraseñas
  3. 0patch para parchear nuestros sistemas y aplicaciones
  4. DNSCrypt para mantener privadas nuestras consultas DNS

Psiphon

Seguro que has oído hablar de TOR (The Onion Router, un proyecto cuyo objetivo principal es el desarrollo de una red de comunicaciones distribuida de baja latencia y superpuesta sobre internet, en la que el encaminamiento de los mensajes intercambiados entre los usuarios no revela su identidad), pero, ¿has oído hablar de Psiphon?. Si no te suena, probablemente es porque (aún) no formas parte del grupo objetivo de este Software: Los residentes en países sometidos a censura por filtros de contenido.

Para que te hagas una idea: Google proporciona un acceso a la información sin precedentes con más de tres mil millones de búsquedas por día. Veinticinco países han bloqueado al menos uno de sus servicios que muchos consideran básicos, incluidos mapas, noticias y la función de búsqueda general en sí. Twitter, introducido en 2006, ha sido limitado, censurado o bloqueado en diez países. Actualmente, el popular sitio de redes sociales tiene una prohibición indefinida en tres países.

 

En la víspera de Año Nuevo de 2018, en medio de protestas en todo el país, el gobierno de Irán bloqueó las dos aplicaciones más populares: Instagram y Telegram. La acción estaba destinada a evitar que los manifestantes se comunicaran entre sí. Sin embargo, los iraníes no tardaron en encontrar una solución alternativa y, cuando Telegram fue desbloqueado, aproximadamente quince millones de iraníes ya estaban usando la aplicación canadiense Psiphon. La aplicación también ha ganado popularidad en países como ChinaSudan o Zimbabue.

Contrario a una VPN regular, su función es ocultar su uso por completo, ya que permite que el dispositivo se conecte a través de uno de los muchos servidores de la compañía en todo el mundo, dándole una ventaja en comparación con otras VPN o software de evasión de la censura.

kmc, uno de los desarrolladores de Psiphon presentó la charla Gato y ratón: Evadir los censores en 2018 en el Congreso 35C3 del Chaos Computer Club en Leipzig.

La herramienta es gratuita, de código abierto y disponible para Windows, Android y iOS.

Página de descarga: https://psiphon.ca/es/download.html

KeepassXC

KeePassXC es un gestor de contraseñas multiplataforma que te va a permitir almacenar todas tus contraseñas en una sola ubicación. Un administrador de contraseñas es una herramienta que permite crear y almacenar contraseñas, para posteriormente poder emplearlas en diferentes sitios y servicios sin la necesidad de memorizar todas. Sólo necesitarás recordar una contraseña maestra que te permitirá acceder a la base de datos cifrada del administrador de contraseñas, que es la que contiene todas tus contraseñas.

Hay varios programas con nombres similares a KeePassXC, como KeePassX, KeePassX y KeePass2. Algunos de ellos se basan en el mismo código, mientras que otros sólo usan el mismo formato de base de datos. En mi opinión, KeePassXC es la mejor opción porque es multiplataforma y se ha desarrollado más activamente que algunas de las alternativas.

KeepassXC permite la integración con el navegador mediante un plugin. Hay que habilitar la función dentro de las preferencias de la aplicación e instalar el plugin (disponible para Firefox y Chrome):

Una vez activado el plugin/la extensión podemos usarla en las páginas donde se vea necesario:

Si te interesa saber más antes de usar KeepassXC te recomiendo escuchar este interesante episodio del Complete Privacy & Security Podcast en cual entrevistan a Jonathan White, uno de los desarrolladores de KeepassXC:

Página de descarga: https://keepassxc.org

0patch – Micropatches vs 0days

No cabe duda de que las vulnerabilidades de software son un gran problema. La divulgación de vulnerabilidades de alto perfil se ha vuelto tremendamente gratificante. Existe un gran mercado para vulnerabilidades de software y sus correspondientes "exploits" (fragmento de software, fragmento de datos o secuencia de comandos o acciones, utilizada con el fin de aprovechar una vulnerabilidad). Cuando la mayoría de las personas usan el mismo software (ej. Windows, Office, Adobe Acrobat, Flash…), se puede usar una vulnerabilidad específica contra miles, o incluso millones de personas. Obviamente, los ciberdelincuentes tienen un gran interés en tales vulnerabilidades.

La única manera de protegernos ante vulnerabilidades es actualizar nuestro software con regularidad, pero hoy en día los equipos de seguridad y los administradores de sistemas están bombardeados con información sobre vulnerabilidades, por lo que les conviene aprovechar al máximo el tiempo y los recursos limitados para priorizar las vulnerabilidades que se deben corregir. Está claro que no se pueden solucionar todos: MITRE desde su inicio ha asignado y publicado más de 120,000 Exposiciones de Vulnerabilidad Comunes (CVE) y solo en 2017, las empresas tuvieron que lidiar con un promedio de 40 nuevas vulnerabilidades por día.

A la problemática de vulnerabilidades se deben añadir otros factores:

  • La falta de actualizaciones por parte del proveedor (por ejemplo, para Software que ha llegado a su End of Life (EOL: término usado en la informática para designar el fin del ciclo de vida (signifique esto soporte o ventas) del producto). Algunos proveedores de software están más interesados en vender una nueva versión de su producto que en solucionar vulnerabilidades.
  • El tiempo que transcurre entre la divulgación de una vulnerabilidad hasta la disponibilidad de una actualización por parte del proveedor.
  • Los ataques 0day (Desconocidos para la gente y el fabricante del producto, lo cual supone que aún no hayan sido arreglados) que afectan incluso a sistemas actualizados. Hasta que se mitigue la vulnerabilidad, los ciberdelincuentes que la conocen pueden explotarla para afectar negativamente programas informáticos, datos, computadoras adicionales o una red. Gartner cree que el 99% de las vulnerabilidades explotadas a finales de 2020 seguirán siendo conocidas en el momento del incidente. Además, según Recorded Future el 19% de las vulnerabilidades explotadas mencionadas en la DarkWeb en los últimos seis meses tenían más de un año. A pesar de ello, una vulnerabilidad de día cero es de mayor peligro y supone una amenaza grave tanto para los usuarios como para los sistemas críticos si se explota activamente.

Ahí es donde entra 0patch. Acros Security es el laboratorio de investigación de seguridad digital que desarrolló esta herramienta (actualmente gratuita) como solución para parchear vulnerabilidades 0day. También ofrece soluciones para vulnerabilidades no parcheadas, parches para productos al final de la vida útil (EOL) y no compatibles, parches para sistemas operativos heredados, así como componentes de terceros vulnerables y software personalizado.

0patch tarda menos de un minuto en instalarse, y aplica pequeños parches de seguridad de la misma manera para todas las aplicaciones, no en el disco, sino en la memoria, mientras se ejecuta el software. Esto permite que la aplicación de parches y el desempaque se realicen de manera casi instantánea, sin reinicios ni tiempos de espera. Si 0patch se está ejecutando, parchea inmediatamente una aplicación vulnerable en el inicio y alerta al usuario si se ha bloqueado un intento de explotación.

En los últimos meses 0patch ha proporcionado parches para importantes vulnerabilidades (ej., WinRAR, OpenOffice, Adobe Reader, Microsoft Windows) en muchos casos incluso antes que el propio proveedor de software.

DNSCrypt

Si estás acostumbrado a utilizar servidores DNS conocidos, por ejemplo, los propios de nuestros operadores o incluso los de Google debido a su fácil memorización (8.8.8.8, 8.8.4.4) y alguna vez te has preguntado si es buena idea dejar en manos de un monopolista todas tus consultas DNS, DNSCrypt puede ser para ti. Aunque estos DNS brindan un rendimiento óptimo a nuestra red y nos permiten navegar sin problema alguno, es muy probable que monitoricen nuestra actividad y nos rastreen gracias a las solicitudes DNS las webs que visitamos.

Como su nombre indica, DNSCrypt, una aplicación desarrollada y mantenida por la empresa OpenDNS, cifra estas conexiones y protege mejor nuestra privacidad. Para empezar a cifrar nuestro tráfico, lo único que debemos hacer es, en primer lugar, activar el Servicio DNSCrypt desde su correspondiente interruptor…

…y, tras ello, elegir la tarjeta de red a través de la cual queremos cifrar el tráfico DNS de nuestro ordenador:

Tras estos dos simples pasos, nuestro tráfico DNS ya estará siendo cifrado de manera que nadie pueda interceptarlo, recopilarlo ni suplantarlo para hacernos ir a páginas web maliciosas. Podemos comprobar su correcto funcionamiento en la página DNSLeakTest:

Antes de habilitar DNSCrypt:

Después de habilitar DNSCrypt:

Cliente DNSCrypt para Windows: https://simplednscrypt.org/