Encriptación de Ficheros con GNU Privacy Guard – GPG


GNU Privacy Guard (GPG) es una herramienta de cifrado de datos y firmas digitales, usado como reemplazo de PGP (Pretty Good Privacy) pero con la diferencia que es software libre licenciado bajo la GPL. GPG utiliza el estándar del IETF denominado OpenPGP.

Utilizandolo correctamente, GPG puede proporcionar un gran nivel de seguridad y puede utilizarse para proteger datos almacenados en discos, copias de seguridad, etc.

Lo primero que necesitamos hacer es crear nuestra clave:

$ gpg --gen-key

gpg: AVISO: permisos inseguros del directorio contenedor del fichero de
configuración `~/.gnupg/gpg.conf’
gpg (GnuPG) 1.4.9; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Por favor seleccione tipo de clave deseado:

(1) DSA y ElGamal (por defecto)
(2) DSA (sólo firmar)
(5) RSA (sólo firmar)

Su elección: 1

El par de claves DSA tendrá 1024 bits.
las claves ELG-E pueden tener entre 1024 y 4096 bits de longitud.

¿De qué tamaño quiere la clave? (2048) 1024

El tamaño requerido es de 1024 bits
Por favor, especifique el período de validez de la clave.
0 = la clave nunca caduca
n> = la clave caduca en n días
n>w = la clave caduca en n semanas
n>m = la clave caduca en n meses
n>y = la clave caduca en n años

¿Validez de la clave (0)?

La clave nunca caduca

¿Es correcto? (s/n) s

Necesita un identificador de usuario para identificar su clave. El programa
construye el identificador a partir del Nombre Real, Comentario y Dirección
de Correo Electrónico de esta forma:
“Heinrich Heine (Der Dichter) “

Nombre y apellidos: Beastieux Zeroo
Dirección de correo electrónico: the.beastieux@gmail.com
Comentario: The::Beastieux
Ha seleccionado este ID de usuario: “Beastieux Zeroo (The::Beastieux)”
¿Cambia (N)ombre, (C)omentario, (D)irección o (V)ale/(S)alir? V
Necesita una frase contraseña para proteger su clave secreta.******

gpg: comprobando base de datos de confianza
gpg: 3 dudosa(s) necesarias, 1 completa(s) necesarias,
modelo de confianza PGP
gpg: nivel: 0 validez: 2 firmada: 0 confianza: 0-, 0q, 0n, 0m, 0f, 2u
pub 1024D/597280F0 2011-02-10
Huella de clave = FC3A 0A54 34AC C55F 6E5E E317 8869 8531 5972 80F0
uid Beastieux Zeroo (The::Beastieux) sub 1024g/438636E5 2011-02-10

Luego, podemos subirlo a algún servidor de claves para compartirlo:

$ gpg --keyserver pgp.mit.edu --send-keys mi_clave

Luego de subirlo pueden compartir su clave pública en la web:

Mi GPG

Algunos comandos que podemos hacer uso para realizar operaciones posterior a la creación de nuestra clave:

Listar Claves Públicas:

$ gpg --list-public-keys

Listar Claves Privadas:

$ gpg --list-secret-keys

Exportar Clave Pública:

$ gpg --export -a "Nombre de Usuario" > publica.key

Exportar Clave Privada:

$ gpg --export-secret-keys -a "Nombre Usuario" > privada.key

Importar Clave Pública:

$ gpg --import publica.key

Importar Clave Privada:

$ gpg --allow-secret-key-import --import privada.key

Borrar Clave Pública:

$ gpg --delete-key "Nombre Usuario"

Borrar Clave Privada:

$ gpg --delete-secret-key "Nombre Usuario"

Listar Huellas:

$ gpg --fingerprint

Cifrar Archivo:

$ gpg -e archivo

Descifrar Archivo:

$ gpg --decrypt archivo.gpg
Anuncios

Advertencia de Seguridad en Gmail


Es la primera vez que Gmail me ha lanzado una alerta que me ha devuelto a mi etapa de paranoico, cuando pensé que ya me estaba curando, xD. Gmail me advierte que ingresaron desde un servidor de la China hacia un correo de uso anónimo que poseo (ese que uso siempre que me registro a los rincones desconocidos de la web); he traceado el origen e investigado sobre ello, y no me preocupo mas, sabía que eso podría pasar, por algo no uso mis cuentas oficiales para ello; no voy a dar detalles, no ha pasado nada lamentable, a pesar de ello Gmail fue de ayuda y esa cuenta sigue vigente; la cuestión es la importancia que radica en este tipo de advertencias, la pregunta es: cuantos mas han pasado por lo mismo?.


Personalmente suelo cambiar las contraseñas de todas mis cuentas cada 4 meses, y ya casi me tocaba. Si bien es cierto, hoy en día ya existen métodos mucho mas novedosos y justos para recuperar una correo robado o contraseñas olvidadas mediante evidencias e información que el usuario posee, pero eso no quiere decir que debamos dejar de lado nuestras políticas de seguridad, no les gustaría perder parte de su vida, su red de contactos,sus privacidades etc., porque quieran o no, realmente es así.

Son muchas personas que me han pedido favores para recuperar sus correos robados y la mayoría de las veces con la propia información que ellos poseen y con las propias herramientas que el servidor de correo brinda es posible hacerlo, y otras veces,  la habilidad del atacante tiene mucho que ver y no se logra.

Por ello, les recomiendo que todos tengan conciencia de este tema, lean sobre las estrategias de seguridad de sus proveedores de correos públicos, sobre estrategias legales de recuperación de cuentas que en la mayoría de los casos los proveedores serios lo tienen pero muchos lo desconocen, recuerden los datos que ingresan al crear sus cuentas, no cometan la estupidez (disculpen el término) de preguntar:  “me han hackeado, ahora ayúdame a hackearlo”, sin antes haberlo intentado por los métodos establecidos, cambien sus contraseñas cada cierto tiempo,  no sean tontos en registrarse a cualquier cosa que encuentren en la red desde sus correos de uso oficial;  son cientos de recomendaciones que les podría hacer, pero harían caso?, si apuesto que ni los pocos que he nombrado la mayoría lo cumple.  Yo cumplo con informarles.

Políticas de Seguridad Informática


Las políticas de seguridad informática representan un tipo especial de reglas de negocios documentadas. Así como es inconcebible pensar que millones de conductores de automóviles puedan conducir sin leyes de tránsito, es también difícil pensar que millones de personas de negocios pudieran operar sistemas sin políticas de seguridad informática.

Les dejo este interesante libro con quién me topé en ivlabs…..

Descargar:

http://rapidshare.com/files/161701100/PoliticasSeguridadInforrmatica.rar

Pass: http://www.ivlabs.org

Fuente: ivlabs

Aseguramiento de la Seguridad en Linux con Iptables


EXCELENTE el trabajo realizado por Francisco Javier Fernández Piatek (2ºasi) sobre seguridad en linux. Los temas principales que trata son:

  • SEGURIDAD PRIMARIA (HARDWARE) y SEGURIDAD SECUNDARIA (INSTALACIÓN)
  • BASTIONADO (FORTIFICACIÓN) DEL SISTEMA
  • ACTUALIZACIÓN DE PARCHES DE SEGURIDAD
  • INSTALACIÓN DE HERRAMIENTAS DE MONITORIZACIÓN DEL SISTEMA Y DE DETECCIÓN DE INTRUSOS
  • UTILIZACIÓN DE HERRAMIENTAS DE AUDITORÍA PARA LA COMPROBACIÓN DE LA SEGURIDAD LOCAL Y REMOTA
  • USO DE HERRAMIENTAS EN EL CASO DE QUE EL SISTEMA SEA COMPROMETIDO
  • SEGURIDAD BÁSICA EN SERVICIOS (ssh, squid, ftp,x-window)
  • FIREWALL
  • TCP-WRAPPING
  • IPTABLES
  • HERRAMIENTAS PARA LA SEGURIDAD

¡Vale la pena leerlo! son sólo 27 páginas (licencia Creative Commons).

de http://www.iesgrancapitan.org/

Fuente: http://linuxalpoder.wordpress.com/category/entornos-de-escritorio/