Revisión de mi estrategia de backup

Desde hace varios años tengo implementado un sistema de backup automático para mis datos importantes. Pero hechos recientes me han empujado a revisar mi estrategia, encontrando dos puntos a tener muy en cuenta:

  • Mi sistema de backup tenía importantes carencias
  • Mis necesidades actuales han cambiado

Nuevos tiempos requieren nuevos planteamientos, así que aproveché la caída de uno de los discos del NAS para rediseñar e implementar un nuevo sistema de backup de datos.

Como consejo para cualquiera que esté buscando una mejor manera de salvaguardar sus datos, diré que es fundamental elaborar una lista personal de necesidades, ya que las soluciones van a depender de ellas. Éstas son las mías:

  • Tiene que ser automático. Ya tengo bastantes preocupaciones en mi cabeza como para sumar una mas. Si tengo que acordarme de conectar un disco duro externo cada cierto tiempo para volcar mis datos, no lo haré nunca.
  • Tiene que estar redundado. No quiero tener una sola copia, quiero al menos dos en diferentes lugares. Las probabilidades de que, llegado el momento de necesidad, acceda a la primera copia y haya algún problema son altas. Suelo estar gafado en esto.
  • Me tiene que proteger de desastres físicos como sobretensión, robo, incendio, o inundación. Por lo tanto, es fundamental tener una copia fuera de casa, en lugar remoto.
  • Me tiene que proteger de malware/ransomware, así como de corrupciones esporádicas de datos debido a bugs en las aplicaciones que manejan los archivos.
  • Me tiene que proteger de mis propias torpezas. Puedo llegar a borrar o alterar un archivo de forma accidental y sin darme cuenta. Es más, no tengo por qué descubrir el problema al momento, pueden pasar semanas o meses hasta que vea que ha pasado algo, cuando quiera volver a abrir un archivo y vea que no existe o está corrupto.
Sigue leyendo

Instalación de antena de radioaficionado cerca de un aeropuerto

Instalar una antena de radioaficionado en un bloque comunitario no es fácil. Además de la complejidad técnica, hay que añadir la complejidad que supone la gestión de todas las autorizaciones necesarias para poder realizar la instalación en condiciones de seguridad, tanto eléctrica como mecánica, y cumpliendo la legislación vigente.

Pero si además vivimos cerca de un aeropuerto, tenemos que realizar una gestión adicional por invadir el espacio aéreo debido a lo que se denomina servidumbres aeronáuticas. Hablamos de la autorización por parte de la Agencia Estatal de Seguridad Aérea (AESA) que, de realizar la instalación sin la pertinente autorización, nos expondremos a cuantiosas multas que van de 90.001 € a 225.000 €.

En general, para realizar la instalación de una antena de radioaficionado cerca de un aeropuerto, necesitaremos lidiar con:

  • La comunidad de vecinos
  • El ayuntamiento
  • La Dirección General de Telecomunicaciones (DGT)
  • La Agencia Estatal de Seguridad Aérea (AESA)

Además, necesitaremos el boletín de instalación expedido por un instalador autorizado (salvo que la DGT nos autorice a instalar por nuestros propios medios, en cuyo caso haremos una declaración responsable de instalación), y el seguro obligatorio de responsabilidad civil.

Sigue leyendo

Conversión Anytone AT-D868UV en AT-D878UV

En esta guía vamos a explicar cómo se puede convertir un walkie talkie Anytone AT-D868UV en el nuevo modelo AT-D878UV, ya que sólo existen diferencias de software entre ambos, siendo el hardware el mismo.

Aunque para hacer honor a la verdad, esta última afirmación no es estrictamente cierta. Existen tres versiones diferentes del Anytone AT-D868UV en cuanto a hardware:

  • V1: Lleva un microcontrolador modelo GD32F303VE de 512 KB de Flash. Utiliza el firmware V1 (v1.xx).
  • V2 «inicial»: Tiene varios cambios de diseño y mejoras en el PCB, pero sigue utilizando el GD32F303VE de 512 KB de Flash y firmware V1 (v1.xx). Sí, un tanto confuso.
  • V2 «final»: Es como la V2 «inicial», pero lleva un microcontrolador modelo GD32F303VG con 1 MB de Flash y utiliza el firmware V2 (v2.xx).

En España este walkie llegó un año tarde y aparentemente todas las unidades se corresponden con la versión V2 «final», por lo que potencialmente todos son convertibles al AT-D878UV, con el que comparte hardware.

Sigue leyendo

Charla PMR 7-7: Radiocomunicaciones de emergencia en montaña

¿Sabías que unos walkie talkies de supermercado te pueden salvar la vida en montaña? ¿Conoces la iniciativa Canal 7-7 PMR?

Este viernes daremos una charla en Erandio (Bizkaia) sobre el empleo de radios de bajo coste y uso libre en montaña, y cómo pueden ayudar a enviar comunicados de emergencia en zonas sin cobertura de telefonía móvil. Si haces excursiones a la montaña y vives cerca, ven. Te puede salvar la vida.

Walkie talkies Baofeng y legalidad

Últimamente veo muchas preguntas en diversos foros sobre el uso de los famosos walkie talkies chinos Baofeng en España, sobre todo para actividades de ocio al aire libre como montañismo o Airsoft. Mi intención con este post es aclarar las dudas sobre la legalidad y los posibles usos de estos walkies chinos en España.

Baofeng UV-5R, el modelo más habitual

Baofeng UV-5R, el modelo más habitual

Si no conoces los Baofeng te contaré que son unos walkie talkies chinos de muy bajo coste, en torno a 30€ o menos en Amazon España, que emiten en frecuencias de radioaficionado de VHF y UHF con una respetable potencia de 5W. Hasta hace poco, para acceder a algo así tenías que irte a marcas como Kenwood o ICom, y gastarte del orden de 200€ o más.

Estos talkies se están poniendo de moda porque tienen unas prestaciones muy buenas al mismo precio que unos walkies PMR de uso libre, pero los Baofeng permiten cambiar la antena, emitir con más potencia (hasta 10 veces más que un PMR, 500mW vs 5W), y escuchar frecuencias de uso profesional. Funcionan en el rango de 130-176 MHz en banda VHF, y en 400-520 MHz en banda UHF.

Sigue leyendo

Filtración de contraseñas en 000webhost

Me acaba de saltar una alerta de have i been pwned? sobre una nueva filtración de contraseñas.

Estamos hablando de la friolera de 13 millones de contraseñas en claro filtradas de la base de datos de usuarios de 000webhost, uno de los proveedores de hosting gratuito más habituales.

La base de datos de contraseñas se filtró en marzo de 2015, y desde entonces se ha estado vendiendo en foros por un precio de unos $2.000. Que se venda significa que aquellos que la hayan comprado esperan obtener un retorno económico de ello. Dicho de otra manera, esperan que las víctimas hayan reutilizado sus contraseñas de 000webhost en otros sitios de Internet y puedan robarte dinero de alguna manera.

Lo peor de todo este asunto es la estrategia seguida por 000webhost cuando el investigador de seguridad Troy Hunt les informó de ello: le ignoraron completamente y no avisaron a sus clientes. 000webhost ha reseteado silenciosamente las contraseñas de todos sus clientes, pero no les ha advertido de que, si han reutilizado su contraseña en otros sitios, pueden estar gravemente expuestos. En ese sentido, la actuación de 000webhost ha sido lamentable.

Si tienes cuenta en 000webhost y has reutilizado la contraseña en otros sitios de Internet, ve y cambia tus credenciales en todos esos sitios ahora mismo.

Si quieres leer más sobre la nefasta gestión de 000webhost ante el incidente, aquí tienes la investigación completa de Troy Hunt:

Breaches, traders, plain text passwords, ethical disclosure and 000webhost

Charla «Seguridad en Aplicaciones Web»

Este año voy a dar una charla dentro del programa de cursos de verano que organiza el grupo e-ghost en la Universidad de Deusto. Estos son los datos básicos de la convocatoria:

  • Tema: Seguridad en Aplicaciones Web
  • Fecha: 17 de julio, 12:00
  • Lugar: Bilbao, Facultad de Ingeniería de la Universidad de Deusto, aula 105L
  • Duración: 2 horas

En la charla analizaremos las 10 debilidades de seguridad más comunes que se cometen durante el desarrollo de una aplicación web, con ejemplos de cómo se podrían explotar y qué impacto tendrían en el negocio.

Analizaremos fugas de información, inyección de código en formularios, falsificación de peticiones, debilidades de autenticación, y mucho más. ¿Te lo vas a perder?

Para asistir hay que inscribirse previamente. Puede asistir cualquier persona, pero si se llena tendrán prioridad los alumnos y ex-alumnos de la Universidad de Deusto.

Los cursos de verano del grupo e-ghost se van a impartir del 13 al 24 de julio en la Facultad de Ingeniería de la Universidad de Deusto, en Bilbao. Puedes ver el programa completo aquí:

Hay charlas y talleres muy interesantes. ¡Anímate!

Actualización: Ya puedes consultar las transparencias utilizadas en la charla:

Muchas gracias a todos por asistir.

Sobre los 5 millones de contraseñas de Gmail

El pasado 10 de septiembre se desataba la noticia de que se habían filtrado nada menos que 5 millones de contraseñas de Gmail en claro. Rápidamente todos los medios de comunicación especializados se hicieron eco de la noticia y la alarma corrió por foros y redes sociales. Más tarde Google emitió un comunicado indicando que sus sistemas no habían sido vulnerados, y desde entonces nada más se ha vuelto a saber.

La sospecha es que las contraseñas no habían salido de Google, sino de algún otro sitio en Internet menos protegido. Digamos del «Blog Pepe». La noticia también apuntaba a que, probada una pequeña muestra de la filtración, se podía inferir que el 60% de las contraseñas publicadas eran válidas en Gmail. Esto significa que al menos el 60% de las personas de esa lista utiliza la misma contraseña en Gmail que en «Blog Pepe».

El listado de cuentas comprometidas se puede encontrar fácilmente en Internet. El listado completo con contraseñas no es mucho más difícil de conseguir. Yo he dado con él, y me he permitido cargarlo en un SQLite para sacar el Top 20 de contraseñas más utilizadas. Ahí va:

Sigue leyendo

Curso Asterisk (VIII): Plantilla mínima de configuración

En un comentario del capítulo anterior he recibido una petición que me ha parecido suficientemente interesante como para dedicarle una pequeña entrada independiente.

En el comentario, el autor pide si sería posible publicar el contenido de los archivos sip.conf y extensions.conf reducidos a su mínima expresión, sin extensiones de ejemplo ni ningún tipo de relleno, salvo los parámetros de seguridad mencionados en el correspondiente capítulo.

A continuación, os pongo el contenido de dichos archivos. Lo que incluyen es lo mínimo imprescindible, justo el esqueleto sobre el que empezar a definir vuestras extensiones y vuestro dialplan.

[general]
context=default
language=es
srvlookup=yes
useragent=Asterisk PBX
allowguest=no
alwaysauthreject=yes
udpbindaddr=0.0.0.0:42187

;NAT
externhost=sip.vuestrodominio.com
externrefresh=600
localnet=192.168.0.0/255.255.255.0
nat=force_rport,comedia
directmedia=no

Sigue leyendo

Curso Asterisk (VII): Seguridad

Desde el capítulo 5 estamos conectados a proveedores VoIP, lo que significa que un atacante malintencionado podría generarnos pérdidas económicas si no tuviéramos bien configurado nuestro Asterisk.

Configurarlo correctamente no parece complicado: das de alta tus extensiones y tus proveedores, y listo. Todo tiene clave, todo parece estar bien. ¿Seguro? Desgraciadamente, la implementación SIP de Asterisk es insegura en su configuración por defecto y necesitaremos saber lo que estamos haciendo para proteger nuestro sistema de usos no autorizados.

Pero que no cunda el pánico, porque si has seguido el curso al pie de la letra, ya has ido aplicando sin saberlo una gran parte de las medidas que detallaremos en el presente capítulo. Aun así presta atención, ya que es necesario conocer ciertos detalles para no meter la pata cuando crees por ti mismo tu configuración, y para poder llevar a cabo otras cosas que hasta ahora no hemos hecho.

Sigue leyendo