Archivo de la etiqueta: Seguridad

Ejecutar aplicacion de escritorio como Administrador

microsoft-logo Una de las cosas que he necesitado hacer, y que nunca lo recuerdo, es tener la posibilidad de ejecutar directamente una aplicación como administrador.

Esta claro, que siempre tienes la posibilidad de, utilizando el botón derecho del ratón, seccionar la opción de “Ejecutar como administrador” (como se aprecia en la siguiente imagen)

RunAs

Pero existe veces en los que quieres que tu aplicación, solo permita ejecutarse con permisos de Administrador de la maquina, lo que permite realizar ciertas acciones que de otra forma no podrías. En este caso lo que hay que hacer es añadir un archivo de manifiesto o (app.manifest), donde se especifican múltiples metadatos de la aplicación, entre los que destaca, la seguridad.

Para añadir un archivo app.manifest a nuestra aplicacion, solo tienes que:

  • Aañadir desde Visual Studio, un nuevo archivo del tipo “Archivo de manifiesto de aplicación” como podemos apreciar:

app-manifest

  • Una vez añadido, editamos el archivo y donde aparece:
 

lo modificamos para que sea:

 

 

  • Por ultimo, solo nos queda acceder a las propiedades del proyecto, y dentro de Aplicación, seleccionar el archivo de manifiesto que hemos añadido:

app-manifest_2

Así la próxima vez que ejecutes la aplicación, solicitará credenciales de Administrador.

Referencia: Assembly Manifest

 

ViewFormPagesLockdown para aumentar la seguridad en SharePoint 2010

sharepoint2010 Ayudando a un amigo, vimos que en portales públicos en los que se utiliza SharePoint 2010, puedes tener una mala configuración que a nivel de seguridad, puede ser problemático.

Cuando creas un portal publico (usando las características de Publicación) basado en SharePoint, has de configurar el acceso de usuarios, como anónimo, por lo que por defecto permite que cualquier usuario acceda a los siguientes recursos:

  • /_layouts/viewlsts.aspx
  • /Lists/[ListName]/AlItems.aspx

Esto es un problema de seguridad, ya que estas dando una información muy importante a usuarios anónimos, que podrían usar en tu contra… pero no hay problema ya que SharePoint trae una característica oculta a nivel de Site, llamada ViewFormPagesLockdown, que deshabilita el acceso a estos recursos de forma anónima.

Para activar esta funcionalidad, hay que utilizar un par de comandos de PowerShell:

1) Obtenemos el GUID de la característica ViewFormPagesLockdown, la cual como he comentado esta oculta con el siguiente comando:

Get-SPFeature | where { $_.DisplayName -eq "ViewFormPagesLockdown"}

ViewFormPagesLockdown

2) Una vez tenemos el GUID o identificador, lo que hacemos es activarlo:

Enable-SPFeature -url http://sharepoint -identity 7c637b23-06c4-4724-9a9a-7c175762c5c4 -confirm:$false

Tras este cambio, los usuarios tendrán que autenticarse, para acceder a estos recursos.

IMPORTANTE: Puedes tener problemas si dentro de esta colección de sitio, tienes subsitios de tipo Blog, en los que los usuarios pueden realizar comentarios sobre post o similares… para solucionar este tipo de problema, en el blog de sharepointblues.com te explican como se puede solucionar.

Uso de SPBasePermissions para verificar o establecer permisos en diversos objetos de SharePoint

En este post, añado una lista de algunas de las propiedades y métodos que devuelven el enumerador  SPBasePermissions, y algunos métodos que toman como parámetro SPBasePermissions para comprobar si un usuario tiene ciertos derechos sobre un objeto en SharePoint.

Los siguientes son algunos de los componentes más comunes de SharePoint que se puede utilizar para obtener o establecer los permisos, o comprobar si son eficaces ciertos permisos para un usuario sobre el objeto:

Obtener o establecer los permisos de la base de una definición de función en un objeto SPWeb:

  • SPWeb.RoleDefinitions.BasePermissions 

Obtener los permisos del usuario actual o especificado tiene los permisos especificados sobre un objeto:

  • SPSite.EffectiveBasePermissions
  • SPSite.GetEffectiveRightsForAcl (SPReusableAcl)
  • SPWeb.EffectiveBasePermissions 
  • SPWeb.GetUserEffectivePermissions (Nombre de usuario String)
  • SPList.EffectiveBasePermissions 
  • SPList.EffectiveFolderPermissions 
  • SPList.GetUserEffectivePermissions (Nombre de usuario String)
  • SPFolder.EffectiveRawPermissions 
  • SPFile.EffectiveRawPermissions 
  • SPListItem.EffectiveBasePermissions 
  • SPListItem.GetUserEffectivePermissions (Nombre de usuario String)

Comprobar si el usuario actual o especificado tiene los permisos especificados y lanza UnauthorizedAccessException si no:

  • SPSite.CheckForPermissions (SPReusableAcl, SPBasePermissions) 
  • SPWeb.CheckPermissions (SPBasePermissions) 
  • SPList.CheckPermissions (SPBasePermissions) 
  • SPListItem.CheckPermissions (SPBasePermissions)

Devuelve verdadero/falso indicando si el usuario tiene el permisos específicos:

  • SPSite.DoesUserHavePermissions (SPReusableAcl, SPBasePermissions) 
  • SPSite.DoesUserHavePermissions (SPReusableAcl, SPBasePermissions, SPWeb) 
  • SPWeb.DoesUserHavePermissions (SPBasePermissions) 
  • SPWeb.DoesUserHavePermissions (String, SPBasePermissions) 
  • SPList.DoesUserHavePermissions (SPBasePermissions) 
  • SPList.DoesUserHavePermissions (SPUser, SPBasePermissions) 
  • SPListItem.DoesUserHavePermissions (SPBasePermissions) 
  • SPListItem.DoesUserHavePermissions (SPUser, SPBasePermissions) 

Diseño de páginas base – Permisos necesarios para acceder a una LayoutPageBase

  • LayoutsPageBase.RightsRequired 
  • LayoutsPageBase.DefaultLayoutsRights 

Recortar contenido de una página (Obtener o establecer permisos)

  • SPSecurityTrimmedControl.Permissions 

Permisos base asociados a un objeto SPPermission

  • SPPermission.BasePermissions 

Obtener los permisos base necesarios para utilizar un objeto o ConsoleAction ConsoleNode

  • ConsoleAction.UserRights 
  • ConsoleNode.UserRights 

Obtener los permisos necesarios para ver el Panel de Control de desarrolladores

  • SPDeveloperDashboardSettings.RequiredPermissions 

Obtener o establecer los permisos para una Aplicación Web

  • SPWebApplication.RightsMask 
  • SPSite.ApplicationRightsMask 

Permisos necesarios para acceder a una página móvil

  • SPMobilePage.RightsRequired 

Botón de la barra de menú

  • ToolBarMenuButton.CallbackVisibilityPermission 

Otros:

  • SPSecurableObject.GetUserEffectivePermissions (Nombre de usuario String) 
  • SPRibbon.Permissions 
  • MenuItemTemplate.Permissions 
  • SPUserCustomAction.Rights
De una forma gráfica, una manera de entender las dependencias de permisos que maneja SharePoint por defecto, es esta (pincha sobre ella para verla en grande):
Muy al hilo de esta información, creo que es de recomendada lectura el siguiente articulo de Microsoft: User permissions and permission levels (SharePoint Server 2010), donde se trata el tema de los permisos mas a fondo.

Microsoft parchea 34 problemas de seguridad en sus productos

microsoft-logoMicrosoft actualizó ayer con 34 parches los agujeros de seguridad que tenían sus diversos programas informáticos. Nunca había presentado tantos parches y tan importantes, ya que hasta ahora el récord de parches lo poseía el mes de Junio con 31 soluciones.

La mayoría de las 34 soluciones son calificadas por Microsoft como “críticas“, entre ellas las hay para Windows Vista, Windows XP, Windows 2000 incluso para Windows 7, que hasta el día 22 de octubre no sale a la venta, aunque ya han sido colocados en los ordenadores que saldrán a la venta en esas fechas.

Hay otros parches para el navegador Internet Explorer, el reproductor multimedia Media Player y el correo Outlook, entre otros.

Para actualizar estos parches tienes que acceder al sitio de: Windows Update o bien desde la opción de actualización de tu sistema operativo.

15 consejos a la UE para aumentar la seguridad de la información

Después del estudio realizado, el año pasado por la Agencia Europea para la Seguridad de Información y Redes (ENISA), se acaba de presentar el resultado en un documento de 114 paginas.

La gente de Kiptopolis nos han facilitado la labor y han hecho un resumen en 15 puntos, que muestro a continuación:

  1. La Unión Europea debería presentar una Ley que obligue a notificar las brechas de seguridad.
  2. Debería garantizarse la publicación de estadísticas fiables sobre el delito electrónico.
  3. Es necesario recoger y publicar datos sobre la cantidad de spam y otro tráfico indeseable que emiten los ISP europeos.
  4. Instauración de una escala de sanciones para los ISP que no respondan con prontitud a peticiones de retirada de máquinas comprometidas, y que se recoja el derecho de los usuarios a que sus máquinas sean reconectadas siempre y cuando ellos asuman la total responsabilidad.
  5. Desarrollo e implantación de estándares para que el equipo que se conecte a las redes sea seguro por defecto.
  6. Debería adoptarse una revelación temprana y responsable de vulnerabilidades junto a la responsabilidad del fabricante sobre el software no parcheado, de forma que se acelere el ciclo de desarrollo de parches.
  7. Los parches de seguridad deben ser gratis y mantenerse separados de los que representan actualizaciones de funcionalidades.
  8. Debería armonizarse el proceso de resolución de disputas entre clientes y proveedores de servicios de pago con respecto a las transacciones electrónicas.
  9. Establecer un régimen de sanciones efectivas y proporcionadas contra las prácticas abusivas del comercio on-line.
  10. Estudiar los cambios a realizar en las leyes de protección de los consumidores para adaptarlas al progreso del comercio on-line.
  11. Las autoridades encargadas de velar por la competencia deberían ser asesoradas siempre que la diversidad tenga consecuencias sobre la seguridad.
  12. Investigar los efectos de los fallos en los nodos de intercambio de Internet (IXP).
  13. Impulsar la ratificación por parte de los estados miembros de la Convención sobre Ciberdelito.
  14. Establecimiento de un cuerpo de ámbito europeo encargado de facilitar la cooperación internacional sobre ciberdelitos, usando la OTAN como modelo.
  15. Garantizar ante la Comisión Europea que las regulaciones presentadas con otros propósitos no dañen inadvertidamente a los investigadores y las empresas de seguridad.

Fuente Kriptopolis.

Ciberdelincuentes desarrollan herramientas para probar sus creaciones

Los ciberdelincuentes buscan formas de testear sus creaciones antes de distribuirlas, según ha podido comprobar PandaLabs.

virustest.gif

Una investigación realizada por el laboratorio de detección y análisis de malware de Panda Security ha demostrado cómo los criminales de la Red están colaborando entre ellos en distintos foros y páginas para desarrollar herramientas de testeo que incluyan todas las soluciones de seguridad, o al menos las más prestigiosas. De esta manera, quieren comprobar que sus creaciones no son detectadas antes de lanzarlas, evitando posibles fracasos.

Estas herramientas están en consonancia con la nueva dinámica del malware, en al que los ciberdelincuentes ya no buscan causar grandes alarmas y conseguir titulares, sino pasar desapercibidos. Por eso, pretenden comprobar que sus soluciones no son detectadas por ninguna compañía antes de lanzarlas.

Los ‘routers’ domésticos se convierten en objetivo criminal

Primero fueron los servidores corporativos, después los ordenadores domésticos y ahora, los routers ADSL presentes en cada vez más hogares. Los creadores de código malicioso han descubierto en estos aparatos un nuevo objetivo. El hecho de que sean pequeños ordenadores, que estén siempre encendidos y poco protegidos los convierte en piezas fáciles y muy atractivas para el delincuente.

Un estudio de la Universidad de Indiana (Estados Unidos) destaca la especial vulnerabilidad de las conexiones inalámbricas, más inseguras porque no están protegidas o usan el sistema de cifrado WEP, fácilmente atacable de forma automatizada. Así, el gusano saltaría de un router a otro a través de las ondas aunque, a juicio de Quintero, “su vida de propagación sería muy limitada, a no ser que haya una concentración de routers de un mismo modelo en una área geográfica”.

A nadie se le escapa que las redes de ordenadores zombies o botnets, la peor plaga en la actualidad, nacieron también primero en la imaginación de los investigadores, para hacerse fatalmente reales meses después. La única defensa contra los ataques a routers domésticos es cambiar las contraseñas que vienen por defecto y proteger sus conexiones inalámbricas con sistema WPA.

Fuente:  ElPais.com

Office 2007 Service Pack 1 publicado

Como ya comenté con anterioridad, se hacia de rogar la nueva version del Service Pack para Office 2007 publicada ayer. Este SP1 incluye avances en estabilidad, rendimiento y seguridad.

Estabilidad: Se solucionan al menos los cinco problemas más frecuentes de cada aplicación, teniendo en cuenta todas las informaciones del sistema “Dr.Watson”. El SP1 de Office 2007 también mejora la estabilidad y usabilidad de Sharepoint Server 2007 y la compatibilidad de todos los servidores con Windows Server 2008, con lo que las empresas pueden avanzar en sus planes de modernización de una manera más segura.

Rendimiento: SP1 mejora el rendimiento de las aplicaciones más comunes de Microsoft Office 2007, como Excel 2007, Outlook 2007, PowerPoint 2007 y SharePoint Server 2007.

Seguridad: Con la incorporación de los nuevos avances en seguridad y los resultados de las pruebas realizadas, el SP1 ofrece a los usuarios una protección mejorada contra el software peligroso y las amenazas potenciales a la privacidad.

Para descargártelo accede a estos enlaces, dependiendo si dispones de la Suite o Server:

2007 Microsoft Office Suite Service Pack 1 (SP1)

2007 Microsoft Office Servers Service Pack 1 (SP1)

La Web 2.0 en peligro

Me ha llamado la atención esta noticia que he leído hoy, en la que dicen que vista y la Web 2.0 serán los objetivos de los ataque para el año que viene. Más concretamente, con respecto a la Web 2.0, nos dicen que sus objetivos serán las redes sociales y las plataformas virtuales.

Como no soy ningún experto en seguridad, me sorprende estas noticias, ya que los hackers no saben donde van a llegar y cuando le cierran una puerta intentan entrar por otro lado. No sé en que sentido atacarán a las redes sociales, pero imaginaremos la cantidad de información relevante que puede existir en cualquier red social de éxito.

Esperemos que las empresas dedicadas al mundo de la seguridad se pongan las pilas y puedan ofrecernos herramientas fiables.

Windows Live OneCare 2.0 released

Otronuevo software de seguridad, esta vez de la mano de Microsoft, quienes han publicado la versión release de este producto de seguridad Windows Live OneCare, que estaba en versión Beta desde el mes de Julio.

La nueva versión 2.0 ofrece varias mejoras de las ya existentes y tambien algunas herramientas nuevas, particularmente en el area de networking y backup storage

La intalación de Windows Live OneCare requiere iniciar sesión en Windows Live.