Canales populares

Usando Ubuntu (Parte 1)

Windows 10 y macOS no tienen una buena reputación en lo que se refiere a privacidad y políticas de usuario precisamente.

Además, constantemente son los principales objetivo de hackers, y desarrolladores de malware.



Por suerte, puedo guiarlos a través de una alternativa que provee un nivel razonable de seguridad y confianza.

Hay muchas distribuciones de Linux que merecerían ser nombradas en éste post; con excelentes desarrollos, y grandes comunidades de soporte. Pero en éste caso, nos enfocaremos en Ubuntu, por las siguientes razones:



Enorme comunidad brindando soporte: Es la principal razón para elegir Ubuntu por sobre otras distribuciones. En AskUbuntu y UbuntuForums de seguro encontraremos una solución a cualquier inconveniente o duda que pudiéramos tener.

SIN 'bloatware': A diferencia de Windows 10 y macOS, el instalador de Ubuntu da al usuario la opción de instalar únicamente el "software esencial". Lo que significa no desperdiciar espacio en juegos, productos comerciales y demás software "preinstalado" que acabarían consumiendo recursos en nuestra memoria RAM o unidad CPU.

Es fácil instalar herramientas de Kali: Gracias al proyecto Katoolin, es posible instalar rápidamente diferentes herramientas de hacking, presentes en Kali Linux, en nuestro sistema Ubuntu. No profundizaré en éste aspecto de momento, pero es un punto considerable a futuro.

Bajos requisitos de sistema: 2GB de memoria RAM nos serán suficientes para correr el sistema operativo. Incluso pudiera funcionar "ajustado" en sistemas de 1GB, o podríamos usar versiones ligeras como Xubuntu con solo 512MB de RAM. Ubuntu puede dar grandes usos a hardware antiguo.



La primera vez que instalemos Ubuntu deberemos tomar algunas medidas de seguridad. Al finalizar la parte inicial, realizaremos diferentes tareas con el fin de segurizar el sistema.

El enfoque general de éstos pasos está orientado a usuarios que ya conocen los procesos de instalación de Windows y están realizando una transición a Linux, por lo que ésta primera parte cubriré la preparación e instalación del sistema.

Quienes ya usen Ubuntu, o conozcan como realizar la instalación del mismo, pueden saltearse ésta parte.




Aclaración: La siguiente no será una guía definitiva de 'securización' o 'hardening' que asegure defendernos de una agencia gubernamental, sino más bien pasos a tomar para elevar nuestras defensas ante ataques físicos  o a través de nuestra red.



Paso 1: Descargar la ISO de Ubuntu y crear un "LiveUSB"

Para protegernos correctamente de ataques físicos; Ubuntu debe ser segurizado desde su instalación.

Por lo que descargaremos la ISO (la que nos corresponda, pero muy probablemente x64) desde su página oficial:

https://www.ubuntu.com/download/desktop

(Los paranoicos podemos tomarnos la tarea adicional de verificar la autenticidad e integridad del archivo descargado a través de sus hashes).

Para crear el pendrive booteable con la ISO descargada, recomiendo utilizar Etcher, el cual es multiplataforma.

Conectamos nuestro pendrive a la PC, y luego seleccionamos la ISO en la primer opción de Etcher: "SELECT IMAGE". Acto seguido seleccionamos la unidad que corresponde a nuestra memoria USB. Por último clickeamos en Flash! y esperamos a que el proceso de copiado finalice.

(Notar que la memoria será formateada y por tanto eliminará los archivos almacenados en ella).



Paso 2: Bootear desde nuestra memoria USB


Generalmente lo haremos con la tecla F12, aunque en algunos sistemas puede accederse al menú de booteo con la tecla Esc o Supr. Prestando atención al inicio de nuestra PC podremos asegurarnos de cual es nuestro caso.

Seleccionamos nuestra unidad de memoria USB/pendrive y (de ser necesario) la opción de Iniciar/Instalar Ubuntu.


Paso 3: Minimizar los puntos de ataque


Dentro del instalador seleccionen la opción de instalación minimalista.

No necesariamente ayudará a reducir nuestras posibilidades de defendernos ante ataques físicos, pero sólo podemos seleccionar ésta opción al principio de la instalación.

SI evitará que Ubuntu instale aplicaciones, de momento, innecesarias; y si en un futuro se descubrieran en Transmission (aplicación popular de torrents) o  Thunderbird (cliente de correo electrónico) vulnerabilidades exploiteables éstas no afectarían ni comprometerían nuestro sistema.

Todo tipo de software correspondiente a terceros, o del tipo comercial puede ser instalado luego a medida que nos vaya siendo necesario.



Paso 4: Defender nuestro disco rígido de herramientas forenses


Hay una línea muy delgada entre lo "seguro" y lo "conveniente", ya que para hacer algo seguro, debemos mantener su acceso inconveniente. De manera adversa, hacer conveniente el acceso a algo, irremediablemente nos lleva a hacerlo inseguro.

Nunca creas que no tienes nada que merezca ser protegido en tu disco rígido. Nunca subestimes el valor de la información (por más mínima que sea) que un hacker pueda obtener de ti.

Puede que no guardes documentos sensibles en tu carpeta de documentos; o que no guardes fotos comprometedoras en tu carpeta de Imágenes; Pero las cookies del navegador con el que te has logueado a diferentes sitios pueden ser extraídas. Archivos e imágenes "eliminadas"pueden ser recuperadas con "herramientas forenses".



Habilitar el encriptado durante la instalación requerirá una contraseña, y deberás ingresarla cada vez que el sistema inicie para desbloquear el disco y cargar el sistema operativo. Sin duda puede sonar inconveniente pero recuerda que el encriptado te protegerá en caso de que alguien consiguiera acceso físico a tu sistema y/o unidad de almacenamiento.

El sistema de encriptado por defecto de Ubuntu provee un excelente grado de protección contra ataques de fuerza bruta, pero aún así recomiendo utilizar una contraseña compleja de 16 caracteres o más.



Paso 5: Defenderse contra un abuso de SUDO


Después de haber seleccionado "Instalar ahora" deberíamos haber pasado a la parte donde ingresamos nuestro nombre de usuario, equipo, y otra contraseña que deberemos recordar.


Ésta será la que utilicemos para ingresar con el usuario que acabamos de crear al iniciar el sistema, regresar de un estado de suspensión/hibernación, y cuando sudo es requerido para ejecutar acciones o comandos con privilegios.

Como alguien que usa mucho sudo, entiendo lo inconveniente que puede ser tipear una contraseña compleja múltiples veces al día. Sin embargo, es muy importante utilizar una que sea compleja y segura aquí también.


Paso 6: Defendernos de un ataque con un "Ruber Ducky" USB



Por defecto, Ubuntu es tan vulnerable a un ataque del tipo Rubber Ducky USB como Windows 10 o macOS.

Éstos ataques pueden ser prevenidos deshabilitando la posibilidad de recibir "inputs" a través de mouse y teclados USB totalmente.

Para usuarios de escritorio, ésta opción puede resultar poco realista. Pero para usuarios de notebooks que no utilizan éstos dispositivos de manera USB es una excelente medida de seguridad.

Utilizaremos el siguiente comando para deshabilitar las entrada por parte de un mouse y/o teclado externo:


sudo echo 'blacklist usbhid' > /etc/modprobe.d/usbhid.conf


Luego, el siguiente comando de update-initramfs actualizará nuestra configuración de booteo; (debremos reiniciar para que el cambio tome efecto).

sudo update-initramfs -u -k $(uname -r)




Próxima parte:

Siguiendo los pasos de arriba deberíamos tener un buen grado de defensa ante ataques físicos a nuestro equipo. En las próximas partes trataré los temas: seguridad en red y buenas prácticas, 'hardening' de aplicaciones, y por último herramientas de auditoría que pueden ser usadas con el fin de remediar casi cualquier debilidad que pudiera quedar en nuestro sistema operativo.
9Comentarios