[pawa86]

Buenas!
Este tema puede que sea un poco tecnico pero creo que es bastante necesario.

Desde el momento que me registre en el foro me percate de la ausencia de un certificado SSL en este foro. No le di mas importancia porque uso una contraseña aqui que no tengo en ningun otro lado, pero esto no es lo normal en los usuarios y suelen usar la misma password en todos los sitios.

El problema de no usar un certificado SSL en una web (se accede por el puerto 80 HTTP, no el 443 del HTTPS) es que toda la informacion que viaja en las tramas de red van en "claro", es decir, texto plano puro y duro. ¿Y que informacion va ahi? Pues lo mas grave, nuestro usuario y contraseña.

Esto quiere decir que cualquier persona que esté conectado a la misma red que nosotros (en nuestro centro de trabajo, cafeteria, biblioteca, etc....) con un simple programita de analisis de trafico, como Wireshark, aplicando un filtro, puede ver todas las tramas de red que van hacia esta web (y viceversa) y vera nuestro usuario y contraseña sin necesidad de complicarse la vida, tal cual es texto plano.

Cuando se usa una conexion SSL, por medio del protocolo HTTPS, la conexion entre el usuario y el servidor (la web en este caso), va cifrada de extremo a extremo, por lo que todos los datos (incluido el usuario y contraseña) iran cifrados, de forma que por mucho trafico que analices veras caracteres sin ningun sentido.

Aqui teneis mas info: https://www.genbeta.com/web/https-asi-funciona

De hecho, si continuamos usando http, llegara un momento en que la web no cargara de forma normal en ningun navegador, porque los desarrolladores en algun momento no permitiran ningun tipo de trafico http, por seguridad.

Al cambiar la web a HTTPS, debereis de poner un certificado SSL, como cuestan dinero, os sugiero que useis Let's Encrypt, ahi podreis generar un certificado SSL gratuito y usarlo en la web.

Yo os recomendaria que si usais la misma contraseña del foro en otros lados, no tardeis en cambiarla (en el otro lado donde la useis tambien, y no pongais luego la misma) porque de verdad que es muy simple sacar la password de los usuarios en webs http.

---

Por ejemplo, en una web wordpress sin conexion SSL:

[Kika]

Hola Pawa! Gracias por el post... Le dan una vuelta los que saben de esto del foro, que yo ni idea... te escribo sólo para que sepas que te hemos leído y eso!
Un saludo y gracias!

[Peznando]

Muy interesante aunque no me he enterao de ná.
A ver cuando sacan un ordenador de enchufar u usar y que no tenga tanto misterio la informática.

[pawa86]

De nada!! Todo sea por mejorar!

---

Muy interesante aunque no me he enterao de ná.
A ver cuando sacan un ordenador de enchufar u usar y que no tenga tanto misterio la informática.

Pues explicado rapidamente se podria decir que todo lo que escribas (incluido nombre de usuario y contraseña) viaja por el cable en texto plano, sin cifrar al usar HTTP, lo que escribes delante de una web, por ejemplo http://miweb.com. Si usas HTTPS, es un protocolo de comunicaciones que mejora el HTTP, en el sentido que todo el contenido va cifrado.

Imaginate una conversacion de dos personas, si hablas HTTP estas gritando tu usuario y contraseña, los de alrededor te podran oir y la sabran. Si hablas HTTPS estas gritando tu contraseña pero cifrada, es algo inentedible porque no tiene sentido, y solo tu y el que te tiene que entender (un servidor web en este caso) es capaz de descrifar ese mensaje y entenderlo. El resto lo oiran, pero no lo entenderan.

En comunicaciones nos gusta mucho las analogias con los dialogos humanos jejeje.

[Gelu]

Ostia


Voy a comprobarlo. Mañana mismo usando wireshark. Ni se me había pasado por la cabeza mirarlo.

Gracias por la info

[pawa86]

El usuario normal se conecta desde su red de casa o si esta fuera desde el movil, ahi no hay mucho problema. En casa no tenemos a un hacker sniffando tramas de red. Pero las redes publicas....cuidadin....yo como recomendacion diria que JAMAS nos conectemos a una wifi publica o de hoteles y parecidos. A saber quien hay conectado y que esta haciendo (he hecho cosas malas en burguers y no te imaginas lo que sale de ahi jejeje, todavia recuerdo como antes se podian interceptar las conversaciones de whatsapp y le mandabas el mensaje modificado al receptor con lo que quisieras jajajaja, las caras eran un poema).
Y si nos tenemos que conectar a una de estas redes, SIEMPRE usar una conexion VPN contra algun servidor. Esto, claro, no lo tiene todo el mundo. En los portatiles de empresas se suelen instalar clientes vpn para que el empleado se conecte a la red de la oficina, con eso nos valdria, en las redes vpn se cifra todo el trafico.
Otra forma gratuita, seria usar, negare que recomiende usarlo aviso jajaja, la red TOR, precisamente son conexiones vpn cifradas, de ahi su anonimato.

[Gelu]

Jajajajaja me encanta el final. Qué interesante me pillas estudiando asir y esto me viene de perlas ahora estoy esnifando tramas pero para dns e IPS jajaja no se me ocurrió ese uso. Está claro que hay que tener cuidado con las redes públicas pero no solo por esto.... Por lo visto.

[Josu Ariztegi]

¿Estáis completamente seguros de que todo lo que habéis hablado no está cifrado?

Porque yo, al menos, no me he enterado de nada...

Qué bueno es a veces vivir en la ignorancia... aunque nos puede acabar costando un disgusto.

[pawa86]

Jajajajaja me encanta el final. Qué interesante me pillas estudiando asir y esto me viene de perlas ahora estoy esnifando tramas pero para dns e IPS jajaja no se me ocurrió ese uso. Está claro que hay que tener cuidado con las redes públicas pero no solo por esto.... Por lo visto.

Jajaja el mal no tiene límites jejeje.
Precisamente, el caso de WhatsApp que dije, eso es un ataque man in the middle jeje.
Cómo curiosidad, si te apetece, bájate el filezilla Server. Montante un FTP normal y otro SFTP, bajo ssl o tls, y captura el tráfico del login ya verás la diferencias jejeje y como en el normal va en plano todo. Y aún hay gente usando FTP sin securizar jajajaja. Pues con el http y el https pasa igual.

[PECES TROPICALES]

Muchas gracias por el apunte como dice Kika, lo escalamos a informatica.

Llevan tiempo viendo el tema, que yo sepa, pero como todo es tiempo y al ser todo de manera altruista, se van avanzando muy despacio el tema

[Carlos70]

El usuario normal se conecta desde su red de casa o si esta fuera desde el movil, ahi no hay mucho problema. En casa no tenemos a un hacker sniffando tramas de red. Pero las redes publicas....cuidadin....yo como recomendacion diria que JAMAS nos conectemos a una wifi publica o de hoteles y parecidos. A saber quien hay conectado y que esta haciendo (he hecho cosas malas en burguers y no te imaginas lo que sale de ahi jejeje, todavia recuerdo como antes se podian interceptar las conversaciones de whatsapp y le mandabas el mensaje modificado al receptor con lo que quisieras jajajaja, las caras eran un poema).
Y si nos tenemos que conectar a una de estas redes, SIEMPRE usar una conexion VPN contra algun servidor. Esto, claro, no lo tiene todo el mundo. En los portatiles de empresas se suelen instalar clientes vpn para que el empleado se conecte a la red de la oficina, con eso nos valdria, en las redes vpn se cifra todo el trafico.
Otra forma gratuita, seria usar, negare que recomiende usarlo aviso jajaja, la red TOR, precisamente son conexiones vpn cifradas, de ahi su anonimato.

Así es, yo cuando estoy fuera de casa, de viaje, me conecto siempre via VPN de la empresa cuando estoy en redes publicas.
Podría hacerlo también contra un NAS que tengo en casa, pero no he configurado el VPN porque con el de la oficina no necesito más.
Eso si, lo normal es que estemos conectados desde casa o con el movil, y eso no nos dará problemas de seguridad.
Pero.... que a nadie se le ocurra conectarse a su banco o su cuenta de correo, estando conectado una red publica (tipo hotel, cafeteria, aeropuerto...).

[Gelu]

Jajajajaja me encanta el final. Qué interesante me pillas estudiando asir y esto me viene de perlas ahora estoy esnifando tramas pero para dns e IPS jajaja no se me ocurrió ese uso. Está claro que hay que tener cuidado con las redes públicas pero no solo por esto.... Por lo visto.

Jajaja el mal no tiene límites jejeje.
Precisamente, el caso de WhatsApp que dije, eso es un ataque man in the middle jeje.
Cómo curiosidad, si te apetece, bájate el filezilla Server. Montante un FTP normal y otro SFTP, bajo ssl o tls, y captura el tráfico del login ya verás la diferencias jejeje y como en el normal va en plano todo. Y aún hay gente usando FTP sin securizar jajajaja. Pues con el http y el https pasa igual.

Justo estoy con FTP ahora. En Linux y en filezilla. Y una de las cosas era ver la seguridad del ssl en FTP

[pawa86]

Muchas gracias por el apunte como dice Kika, lo escalamos a informatica.

Llevan tiempo viendo el tema, que yo sepa, pero como todo es tiempo y al ser todo de manera altruista, se van avanzando muy despacio el tema

Sí, si ya me imagino que estas cosas van despacio jejeje.
Mas que nada es una sugerencia y un pequeño aviso por si usais la misma password del foro en otros lados, no vayais a tener un disgusto.

El usuario normal se conecta desde su red de casa o si esta fuera desde el movil, ahi no hay mucho problema. En casa no tenemos a un hacker sniffando tramas de red. Pero las redes publicas....cuidadin....yo como recomendacion diria que JAMAS nos conectemos a una wifi publica o de hoteles y parecidos. A saber quien hay conectado y que esta haciendo (he hecho cosas malas en burguers y no te imaginas lo que sale de ahi jejeje, todavia recuerdo como antes se podian interceptar las conversaciones de whatsapp y le mandabas el mensaje modificado al receptor con lo que quisieras jajajaja, las caras eran un poema).
Y si nos tenemos que conectar a una de estas redes, SIEMPRE usar una conexion VPN contra algun servidor. Esto, claro, no lo tiene todo el mundo. En los portatiles de empresas se suelen instalar clientes vpn para que el empleado se conecte a la red de la oficina, con eso nos valdria, en las redes vpn se cifra todo el trafico.
Otra forma gratuita, seria usar, negare que recomiende usarlo aviso jajaja, la red TOR, precisamente son conexiones vpn cifradas, de ahi su anonimato.

Así es, yo cuando estoy fuera de casa, de viaje, me conecto siempre via VPN de la empresa cuando estoy en redes publicas.
Podría hacerlo también contra un NAS que tengo en casa, pero no he configurado el VPN porque con el de la oficina no necesito más.
Eso si, lo normal es que estemos conectados desde casa o con el movil, y eso no nos dará problemas de seguridad.
Pero.... que a nadie se le ocurra conectarse a su banco o su cuenta de correo, estando conectado una red publica (tipo hotel, cafeteria, aeropuerto...).

Yo tambien tengo un NAS y estoy en la misma situacion que tu. No me he puesto a configurar un servidor VPN por pereza y porque ya me lo da la empresa jejeje.
Y bueno ahora mismo tal como estan las cosas...estar conectado en tu red de casa no es tampoco muy fiable. Cierto es que, por norma general, no somos interesantes para nadie y no seremos objetivo de ataque. Pero en casa tenemos un eslabon muy debil y es el router que nos ponen las compañias telefonicas. Siempre son routers antiguos, por mucho que les cambien las carcasas, y ¿a que a nadie le actualiza el firmware del dispositivo su compañia? Y vulnerabilidades hay a patadas. Mismamente, la mas grave a mi modo de ver, esta en el Wifi. La encriptacion mas segura que disponen estos routers es WPA2 y fue vulnerada hace ya tiempo.
Y ya entrando en modo paranoia total, ¿donde se fabrican todos los dispositivos electronicos? China. ¿Quien nos dice que en cadena de produccion no meten un circuito integrado que mande todo los analisis de uso de los usuarios a China? Porque por ejemplo, es mas que sabido que todos los telefonos Samsung tienen una funcionalidad oculta que consiste en enviar todos los SMS al gobierno chino.
Por eso en los hilos que veo de programadores electricos wifi, regletas o enchufes, insisto tanto en que no los conecteis a vuestra wifi, al menos crear una red wifi en el router para invitados, aislada de la red principal porque a saber que pueden hacer estos dispositivos.
Uff y paro del modo paranoia que si no tirais todo lo electronico por la ventana jajaja.

[RAD]

Holiiiiiiii

No os hace falta crearos una VPN para conectaros a vuestra NAS, si con NAS os referís a Network Attached Storage (Almacenamiento conectado a la RED).
Yo lo tengo con Nube Privada con una NAS detrás, tengo un laboratorio en Casa con Azure y funciona a las mil maravillas, todas las noches cuando conecto el cargador y la wifi me hace una copia exacta del teléfono, (como un Snapshot)

Respecto a lo de la seguridad del Foro, debería de empezar a ser obligatorio, pocas paginas quedan ya con HTTP, muchos por no decir casi todos, miramos le foro desde el móvil, y todos o casi todos, llevan media vida en el móvil, por no decir que muchos o bastantes, suelen tener la misma contraseña para todo o al menos, que en el correo electrónico, donde tienes la otra media vida (justificantes de compras, correos del banco con datos bancarios........)

[Gelu]

Samsung manda a China? No eran coreanos?

Azufre tienes sus pros y contras....para empezar de pago pero algo de azure estudiante me queda, lo bueno que funciona bastante bien y no te consume recursos, por otra voy a investigar bien que es nas y vpn para pensar proyectos posibles.

Menudo hilo interesabte de la nada.

Como dices no somos un objetivo claro de ataque y n ppio vamos de sobra con ruter y ya. Pero bien pensar más allá ni yo actualizo firmware del router. Pero el esfuerzo que es entrar en mi Red para no tener nada .... Cómo mucho q m hagan una chiquillada.

Ahora cuando m monte un FTP n casa....quien sabe si un nas algún día, no está de más darle dos vueltas a la seguridad....sobre todo si se piensa abrir puertos... pero estamos en las mismas poca chicha para tanto esfuerzo... No merecemos la pena. Yo creo