Un nuevo bug en iOS 8 permitiría a atacantes valerse de una simple red WiFi para dejar inservibles temporalmente a iPhones y iPads conectados a ella.
La vulnerabilidad la señala la compañía de seguridad Skycure y el diario The Guardian, y ambos coinciden en que la amenaza es bastante grave siendo la única defensa hasta ahora disponible el alejarse lo más pronto posible del lugar que cobija la red y evitar futuras conexiones de forma indiscriminada.
A través de una breve nota, el equipo de Tumblr ha anunciado que los usuarios ya pueden activar opcionalmente las conexiones cifradas para los paneles de administración de sus cuentas de usuario, pudiéndolas activar desde las opciones de configuración. Esta posibilidad es nombrada como «precaución adicional contra hackers y espías» e indican en dicha nota que el equipo interno la ha estado usando durante semanas sin haber notado nada, de manera que tan sólo es cuestión de activarla y olvidarse, así de fácil. Además añaden que no hay razón por la que no deberían activar esta posibilidad.
Recordemos que Tumblr está ahora bajo el paraguas de Yahoo, la cual está atravesando una etapa de cambios y actualización de sus servicios, donde además de los aspectos visuales y funcionales, también se está mejorando las infraestructuras con las que ofrecen dichos servicios. En esta línea, hemos visto como el correo de Yahoo ha sido de los últimos servicios de correo electrónico en soportar las conexiones cifradas, por lo que ahora hay una interrogante en lo que respecta a Tumblr, ya que no se sabe si está funcionalidad que está ahora de manera opcional pasará a ser una obligación pasará a ser una obligación para todos los usuarios en el futuro.
En cualquier caso, es un importante paso, sobre todo, para aquellos usuarios y empresas que usan a Tumblr como plataforma para realizar sus comunicados importantes, entre ellas, la propia Yahoo.
Igual, cuando navegamos por sitios web, no nos damos cuenta. Pero algunas de las páginas a las que accedemos, las mismas se ofrecen bajo conexiones seguras, como todos los servicios de Google, los cuales van a migrar sus certificados SSL a claves 2048 bits, lo que implica mayor seguridad que hasta ahora. El proceso se iniciará a partir del 1 de Agosto de este mismo año, para quedar completado a finales del mismo.
Google también cambiará el certificado raíz de todos sus certificados, ya que también sigue usando claves menos seguras de 1024 bits. El motivo por el cual la implementación será llevada a cabo durante el periodo de unos meses es para evitar complicaciones, ya que hay configuraciones que requieren medidas adicionales, donde Google especifica al software cliente en dispositivos como teléfonos, impresoras, centros multimedia, consolas, y cámaras.
El software cliente que hace conexiones SSL a los servicios de Google deberá adherirse a una serie de requisitos: realizar la validación normal de la cadena de certificados, incluir un conjunto amplio adecuado de certificados raíz, y el apoyo de nombre alternativos de sujeto (SAN).
De esta manera, a finales de año, toda la información que circula en las conexiones con Google será más seguras.
Más información: Publicación en Google Online Security
Hasta el día de hoy, el servicio de correo electrónico de Yahoo no permitía su uso a través de conexiones seguras, lo que supone un peligro, sobre todo, si accedemos a nuestras cuentas desde conexiones públicas como puedan ser la de los accesos vía WiFi de los establecimientos públicos. De nada sirve que tengamos el entorno más amigable posible si nuestros datos pueden correr riesgo, añadiéndose además que reciente ha sido hackeado a través de un exploit XSS, y que ya ha sido parcheado.
Pues bien, sin anuncio oficial de ninguna clase, Yahoo al fin toma nota de la exigencia de diferentes organizaciones que durante años han estado pidiendo la posibilidad de acceder a las cuentas de usuarios a través de conexiones seguras. Eso si, la posibilidad ya está en nuestras cuentas, aunque por defecto están desactivadas, con lo que tenemos que ir a la rueda de engranaje que encontraremos en la parte superior derecha, e ir a opciones de correo. Al final encontraremos la opción que nos permite, al fin, poder acceder mediante conexiones seguras SSL.
Una de las organizaciones, la EFF, ya se da por satisfecha con este cambio, lo que supone una mejora en la privacidad a la hora de acceder a nuestras cuentas de correo electrónico. Es curioso como siendo el correo de Yahoo uno de los más importantes, hasta el día de hoy no hayan incorporado esta opción.
Enlace: Instrucciones de activación SSL | Vía: TNW
Aquí os dejo unas serie de extensiones y consejos que podéis utilizar para aumentar la seguridad de vuestra web, siempre y cuando uséis WordPress como plataforma de publicación de contenido.
1. Plugin CHAP Secure Login: codifica la contraseña usando el protocolo CHAP. Sin necesidad de configuración adicional. Instala y activa.
2. Plugin Stealth Login: Altera el nombre de la página de login. El intruso buscará wp-login.php, no la nueva.
3. Plugin Login Lockdown: Bloquea la identificación realizada desde la misma dirección IP cuando la contraseña es incorrecta repetidas veces.
4. Plugin AskApache Password Protect: Añade identificación extra al blog usando HTTP Basic Authentication o HTTP Digest Authentication (hay que verificar si el servidor lo acepta).
5. Plugin Semisecure Login Reimagined: Añade encriptación RSA en la contraseña.
6. Plugin WP-DB-Backup: Hace copias de seguridad de la base de datos con frecuencia configurable. Indispensable.
7. Plugin WP-DBManager: Permite gestionar la base de datos desde el panel de control de WordPress. Cómodo para no tener que acceder al administrador PHPmyAdmin, aunque algo peligroso si alguien consigue entrar en el panel.
8. Cambia el prefijo de las tablas en la base de datos: Generalmente comienzan con wp, puedes cambiarlo con plugins como WP-Security-Scan.
9. Protege el archivo wp-config.php: Añade en el archivo .htaccess la linea
<FilesMatch ^wp-config.php$>deny from all</FilesMatch>para evitar que alguien consiga leer los datos de acceso a la base de datos.
10. Plugin Admin SSL: Añade HTTPS en la pa´gina de identificación. Recuerda que esto tiene coste extra en tu servicio de hospedaje, consúltalo antes.
11. Cambia frecuentemente los datos de acceso, hazle la vida más difícil al intruso.
12. Elimina la información de tu versión de WordPress. Generalmente se encuentra en el archivo header.phpo de tu tema. elimina la línea, no des pistas.
13. Esconde el directorio WP-content: Puedes hacerlo con un archivo en blanco index.html en este directorio o creando un archivo .htaccess en el mismo lugar con el contenido:
Options All -Indexes
14. Bloquea los directorios de wordpress a los buscadores añadiendo la línea Disallow: /wp-* en tu archivo robots.txt
15. Plugin WP Security Scan: Hace algunos tests para verificar la seguridad de tu instalación WordPress, dando consejos de acciones (muchas de ellas incluidas en esta lista).
16. Mantén actualizado tu WordPress, siempre la última versión.
17. Ten cuidado con el origen de los plugin que activas. A veces las extensiones pueden dar muchos dolores de cabeza desde el punto de vista de la seguridad y el rendimiento.
18. SFTP: Sustituye las conexiones FTP a tu instalación por SFTP, que envía los datos de forma segura.
19. Plugin PhoneFactor: No sólo hay que identificarse en tu Worpdress de la forma tradicional, también habrá que responder una llamada automática y apretar # para que la identificación sea un éxito. El posible intruso debe tener tu login, tu contraseña y TU TELÉFONO.