sábado, marzo 31, 2007

T-Shirts

Como estamos en Sábado de antes de Semana Vacacional, en el post de hoy quiero poner algunas de las camisetas que más me molan. La mayoría son regalos, así que hoy a hacer el friki un rato.

Regalo desde Huesca, con motivo de una entrevista:



Regalo de la gente de SinSitio en Burgos, por haber dado una charla allí:



Unos golfos me trajeron ésta al Training Day de Getafe. Por detrás pone "Los unos y los ceros me están volviendo loco":



Las Vegas County Jail:



Regalo de Alcatraz:



Otra de Alcatraz (¿no tengo muchas de éstas?):



De China, ésta me mola:



Homer (le quiero!) Me la trajeron desde Argentina:



Regalo desde Pamplona:



Para el Training Day en Pamplona:



Regalo desde Londres después de la charla de los Cazafantasmas en la Codecamp:



Ésta la compré en Amsterdam para mi, y compré otra (distinta) para el chico maravillas, jeje, estamos preparando una charla:



Otro regalo que me mandan desde Pamplona:



Y por detrás pone:



Y uno de mis clásicos:



Ale, que es Sábado, a disfrutar el finde!

viernes, marzo 30, 2007

La Semana (Santa) de los fallos de Windows Vista

Esto de dedicar las temporadas temáticas se ha puesto tan de moda que ahora se pisan las fechas. Este mes de abril se habían propuesto hacer el mes de los fallos de MySpace, pero además, se ha lanzado The Week of Vista Bugs (TWOVB) para la semana que viene.

Ahora mismo están pidiendo por mail que las contribuciones al equipo y desde el lunes 2 de Abril empezarán a postear los bugs. El equipo está formado, según pone en la web por:

The TWOVB Team
-------------------
* Jerome A.
* Class 101
* Brett M.
* H. M.
* Anonymous


Y como se puede ver en el menú de la web, se unen a cierta corriente popular de usar el acrónimo "M$" para definir a Spectra.

Veremos que hacen público. La información en la siguiente URL: http://http://www.securinfos.info/

De momento no dan más información. ¿Serán graves? ¿Prefieren hacerlos públicos a ganar la pasta que se supone que se paga por los fallos de Windows Vista? Y nosostros de Semana Santa.

jueves, marzo 29, 2007

Test de Intrusión (III de VI)

****************************************************************************************
Artículo Publicado en PCWorld Abril 2007
- Test de intrusión [I de VI]
- Test de intrusión [II de VI]
- Test de intrusión [III de VI]
- Test de intrusión [IV de VI]
- Test de intrusión [V de VI]
- Test de intrusión [VI de VI]
****************************************************************************************

El mes pasado vimos como funcionaban las técnicas de footprinting y fingerprinting y vimos algunas herramientas como la google hacking database, los traceares, nmap o hping2 (ya está disponible hping3). Ahora vamos a centrarnos en la búsqueda de vulnerabilidades.

Identificación de Servicios y Software

Una vez que sabemos cuales son los sistemas operativos, firewalls y/o puertos abiertos es necesario descubrir las versiones de software que corren por esos servicios. Lo primero es intentar ver la información que se nos ofrece abiertamente. Para ello, suele bastar con realizar una conexión y recoger el banner del mismo servicio. El mes pasado vimos como contestaba un servidor web, pero esto se puede realizar con servicios FTP, SMTP o Listeners de Bases de Datos.

Imagen: Telnet a SMTP

Imagen: Telnet a FTP

En el caso de no poder afinar con el banner, con la inferencia de cruzar el sistema operativo, el puerto utilizado, etc…, para identificar la versión, tendremos que utilizar herramientas de fingerprinting de servicio. La mayoría de los escanners de vulnerabilidades (que vamos a ver en el tercer artículo) implementan estas técnicas para la mayoría de servicios. Una vez acotado el software, hay que buscarle los problemas.

Bug

El bug o fallo de seguridad es una característica de un software que puede hacer que el programa funcione incorrectamente o de manera no pensada. Muchos hackers definen bug como “funcionalidad no definida de un programa”. Entendemos como Software Fiable aquel que hace lo que tiene que hacer y como Software Seguro aquel que hace lo que tiene que hacer y nada más. Ese algo más entre el software fiable y el software seguro son los bugs.

El que un software no tenga bugs es muy complicado de conseguir, hay que tener en cuenta que un programa escrito en lenguaje C, compilado con dos compiladores distintos no genera el mismo código binario, luego un mismo código puede ser o no vulnerable dependiendo de compiladores, arquitecturas donde se ejecute, linkadores, etc..

En la búsqueda de bugs se utilizan dos aproximaciones distintas, que pueden realizarse manualmente y con ojos expertos, pero que se automatizan y que son las herramientas de análisis estático de código y análisis dinámico.

Herramientas de Análisis Estático de Código

Este tipo de herramientas mantienen una base de datos de patrones reconocidos como fallos de seguridad, como copia de parámetros con strcopy sin comprobar tamaños, etc… y lo que realizan es una búsquedas de esos parámetros en el código de un programa sin que este se esté ejecutando. Esta forma de escanear el código es lo que recibe el nombre de análisis estático. Estas herramientas pueden analizar códigos en ensamblador, desensamblados directamente del binario, o códigos fuente en lenguajes madre con .NET, C, php, C++, etc… o en códigos intermedios como Bytecodes o IL. La diferencia cualitativa entre estas herramientas es la base de datos de patrones que utilizan y la mayoría de las grandes casas de desarrollo de software consideran esto como un conocimiento competitivo y de valor de la compañía. Microsoft, desde el año 2002, utiliza herramientas propias de análisis de código estático en todos sus productos. En el mundo del software libre, a raíz del proyecto “bug hunting” financiado por el gobierno americano, utiliza a la compañía Coverity para realizar análisis estático de bugs en los principales proyectos de software libre desde Enero de 2006. Los informes con los primeros resultados de los análisis de Coverity están disponibles en http://scan.coverity.com

Existen múltiples herramientas de Análisis Estático de Código disponibles en la web, e incluso, muchos compiladores acompañan su entorno de desarrollo con herramientas de este tipo, como por ejemplo FxCop en Vistual Studio que comprueba desbordamientos de buffer, condiciones de carrera, etc…

Imagen: FxCop en Visual Studio

Proyecto Bug Hunting

En Enero del año 2006 comenzó, a instancias de una universidad y el gobierno Americano el proyecto Bug Hunting, cuyo objetivo era analizar los 50 proyectos Open Source más populares con las herramientas de Análisis Estático de Código de la empresa Coverity. Los resultados que aparecieron en Marzo de 2006 (un año para cuando salga publicado el artículo) están disponibles en la siguiente URL: http://scan.coverity.com. Se puede ver en la tabla, algunos de los resultados que se obtuvieron después de utilizar las herramientas de análisis estático.

Imagen: Resultados Coverity

Herramientas de Análisis dinámico

La búsqueda de bugs con herramientas de análisis dinámico tiene otra aproximación distinta. En este caso el programa a evaluar se ejecuta y se le pasan pruebas y verificaciones automáticas que van a evaluar las respuestas ante todo tipo de situaciones distintas. Una herramienta de este tipo debe ser capaz de evaluar todas las posibilidades de todos los puntos de entrada de información desde cualquier punto externo hacia la aplicación y detectar los casos anómalos.

Algunos ejemplos de herramientas de este tipo son Valgrind, pensada para detectar condiciones de carrera en entornos multihilo y errores de memoria, Dmalloc.h, que es una librería que se usa para comprobar las reservas de memoria o VB Watch que inyecta códigos de análisis dinámico dentro de los programas para monitorizar su funcionamiento.

Exploits

Una vez que se han encontrado los bugs, el objetivo es crear una herramienta que saque partido de ellos, es decir, que sea capaz de hacer uso de esa “funcionalidad no definida del programa”. Para ello, se analizan las posibilidades y alcance de ese bug y se opta por un determinado exploit. Todos los exploits tienen dos partes diferenciadas, la cabecera, que es lo que se denomina exploit puramente, y el cuerpo, denominado payload. La cabecera es la parte artesana que depende de cada bug en concreto, mientras que el payload son acciones ya programadas que se reutilizan. Por ejemplo, una acción típica de un exploit sería devolver una shell de comandos de la máquina explotada a un determinado puerto. Este payload se va a poder reutilizar para múltiples cabeceras distintas.

Metasploit Framework

Esta herramienta es una herramienta básica en la tarea de realizar un test de intrusión en una compañía. Es un entorno que aúna una base de datos de cabeceras de exploits y de payloads para poder realizar el test en unos determinados servidores. Actualmente en la versión 3.0 en beta 3 tiene un actualizador automático de las bases de datos y herramienta de administración web.

Imagen: Metasploit Update

En la siguiente imagen se puede ver como, mediante el interfaz web, podemos configurar los diferentes payloads para un exploit, en este caso, un exploit de Samba para Linux.

Imagen: Configuración de Payload para un Exploit de SAMBA en Linux

0 days

El término “0-days” se va a repetir mucho en las auditorías de seguridad:

- Un servidor en 0-days es aquel que tiene actualizado todo su software a las últimas versiones, es decir, que el software no tiene ningún bug conocido. Ese es el punto más seguro en que se puede tener el software de un servidor.

- Un exploit de 0-days es aquel que funciona en servidores 0-day, es decir, que actualmente no existe una versión de software más moderna para solucionar ese problema.

El objetivo de una auditoría de seguridad será obtener un servidor de 0-days y, si existiesen exploits de 0-days, tomad las medidas para que el software vulnerable no se vea expuesto. Es decir, bloqueando peticiones en firewalls, fortificando las restricciones en las máquinas o con políticas de seguridad en las directivas de seguridad de la red.

POC y Los Meses temáticos

Cuando se quiere realizar un completo test de intrusión en un servidor no valen solo las herramientas comerciales y las que nos ofrecen los fabricantes ya que hay mucha información que no sale por los canales comunes. Las llamadas Pruebas de Concepto (POC) actualmente son muchas de pago y es normal que se sepa que existe un exploit pero que no sea de uso público. Durante el año pasado H.D. Moore, uno de los principales contribuyentes al proyecto Metasploit, decidió realizar meses temáticos junto a otros investigadores de seguridad, orientados a buscar exploits 0-days en diferentes áreas. Así, durante el mes de Julio se centró en los navegadores de Internet, durante el mes de Noviembre en los kernels de los sistemas operativos, durante el mes de Enero en Apple y ya, Stefan Esser ha anunciado para el mes de marzo, el mes de los fallos en PHP. Habrá que estar atentos. En estos proyectos “temáticos” el objetivo es buscar un bug al día y hacerlo público. Esto, lógicamente, creo mucha controversia ya que los canales de información tradicionales son los de avisar al fabricante para que lo corrija sin que los clientes queden expuestos. Esta controversia llevó, a que se anunciara para la última semana del año 2006 la Semana de los fallos de Oracle Database, por parte de Cesar Cerrudo, un investigador de seguridad centrado en Bases de datos, pero, debido a la presión pública la cancelara.

Las POC pueden encontrarse en muchos sitios Web dedicados a la seguridad informática: FRSirt (http://www.frsirt.com), Milworm (http://www.milwOrm.com) o Packet Storm (http://packetstormsecurity.org/) son algunos de los más utilizados.

Imagen: Últimas POC remotas en MilwOrm

Los meses temáticos se pueden encontrar en las siguientes URLS:

- Mes de los fallos de los Navegadores: http://browserfun.blogspot.com/
- Mes de los fallos de los Kernels: http://kernelfun.blogspot.com/
- Mes de los fallos de Apple: http://applefun.blogspot.com/
- Mes de los fallos de PHP: http://blog.php-security.org/

Imagen: Últimos días en el mes de los fallos de Apple


****************************************************************************************
Artículo Publicado en PCWorld Abril 2007
- Test de intrusión [I de VI]
- Test de intrusión [II de VI]
- Test de intrusión [III de VI]
- Test de intrusión [IV de VI]
- Test de intrusión [V de VI]
- Test de intrusión [VI de VI]
****************************************************************************************

miércoles, marzo 28, 2007

Linux en Cabeza

Una de las cosas que más veces he discutido ha sido el famoso uptime. Mantener un servidor arriba no consiste solo en tenerlo encendido dando servicio sino hacerlo en un entorno real y amenazante, en un entorno en el cual hay que parchear los servidores y en el cual vas a ser atacado.

Una de las herramientas que vienen con los servidores de para la gestión de la infraestructura es el ping de servicio. No consiste más que en realizar una petición a un servicio cada cierto tiempo para comprobar que sigue vivo.

En Internet hay una organización que se dedica a monitorizar el servicio de los sitios web y luego saca bonitas estadísticas. Acaban de salir las estadísticas de lo que va de año y parece que Spectra va perdiendo.


Website Downtime
www.ubuntu.com 3h 32 min
www.redhat.com 2h 40 min
www.freebsd.org 1h 56 min
www.sun.com 1h 28 min
www.apple.com 38 min
www.microsoft.com 10 min

Sí, mientras que ubuntu.com ha estado 3 horas y 32 minutos sin responder (en acumulado), Spectra lleva un total de 10 minutos. Lógicamente no es la robustez del servidor en exclusivo, sino de toda la infraestructura y parece que la granja de Spectra está bien gestionada y se maneja bien el mantenimiento.¿no?

Tienes toda la info en el siguiente Link: http://royal.pingdom.com/?p=106

Metasploit 3.0

Y si lo que te he contado te aburre y a ti lo que te mola es lo de intentar tirar los servidores para que baje el uptime de Spectra, desde ayer puedes disfrutar de la última versión de Metasploit framework, la versión 3.0, y en ella los cambios están a primera vista. La verdad, se me hace raro el manejo a priori, pero supongo que será acostumbrarse. Rula para *NIX y Windows, incluido Vista.

Descárgalo de la siguiente URL: Metasploit 3.0

martes, marzo 27, 2007

Líos con "mala" gente

Me encanta esto de hacer cosas con la gente, organizar los retos con Alex y Knovas [¡aún falta el quinto premio!], escribir cuando tengo tiempo con Ánder en su blog, dar charlas con Pedro Laguna, con el Chico Maravillas o el Abuelo, estar desgranando Vista con Joshua, Juan Luís, Juan Fran y Julián en el blog de vista-técnica o con Rodol diseñar las tools de hacking.

Esta tarde me ha invitado Antonio Guzmán, profesor de Seguridad Informática de la URJC a que me pase por la asignatura a dar una charla de 2 horitas, así que quería liar a algunos pajarracos para que se vinieran conmigo. El señor RoMaNSoFt no podía por curro pero “máquina” Tarasco sí, así que nos vamos para allá a hablar de… ¿Seguridad informática? Si alguien se quiere pasar es la URJC, Campus de Móstoles (junto a RENFE Móstoles-El Soto) Aulario III, Aula 003. No hay registro ni nada, es una clase de la uni, pero el profe ha invitado a mucha gente y vosotros también lo estáis. Creo que Tarasco nos hará alguna demo de sus tools y hablaremos de tests de intrusión.

El 19 de Abril, de 10 a 14 hroas, vamos a Huelva a unas jornadas, invitados a la UHU y ahí he liado a Silverhack a que se venga a hacer la charlita conmigo. Y el 8 de Mayo en la Universidad Pública de Navarra a Kike (pezmutant) [así que ya no tienes excusa].

También nos vamos de gira “pajarraco” de los Santos de Hispasec, el abuelo de spectra, Victor Manuel de GFI y yo pispo. ¿y tú? ¿Te animas a hacer algo con nosotros?

PD: Estuve este finde en Ámsterdam y encontré la versión “Traduzca esta página” de Google.

lunes, marzo 26, 2007

Trabajando Bien en el Mal

Esto de trabajar no puede ser bueno ni saludable, pero en mi caso no hay excusa que valga. Hago lo que me gusta, me pagan por ello y me queda tiempo para mis vicios personales como leer tebeos, escribir este blog o salir de fiesta.

Anualmente una “consultora” se dedica a evaluar los lugares de trabajo y decidir sobre una métrica que empresas son las mejores para trabajar. Y va y gana este año Spectra en España. Joder, pues si Spectra es lo mejor en España ¿Cómo serán los lugares del resto?

Además viene de remontada, desde el puesto 20 en el año 2004, el quinto en el 2005, el cuarto puesto en el 2006 y el primero éste. Pero es que encima ha ganado, de 25 países en Europa, en 3 y tiene varios segundos puestos, cuartos puestos, etc…

Resultados España 2007

Yo me quedo con la empresa que ha ganado en Italia, que ahí sí que se tiene que currar bien, sobre todo, si te dan coche de empresa.

Mejores empresas para trabajar 2007.

domingo, marzo 25, 2007

300

Soy un pijazo, es algo público y notorio. Cada vez que voy a comprar comics el dependiente, que se llama como yo, me recibe con los brazos abiertos sabiendo que este mes su recién nacido hijo va a tener asegurada la manutención. Yo le pego a casi todo, comic europeo, terror, superhéroes, Mortadela y Filemón, Iznogud, Asterix, Lucky Luke, DC, Marvel, Batman, Lobezno, Torpedo, Groo, Toutain, Aliens, Star Wars, Predator, Judge Dread, James Bond, Snoopy, Caballero Luna, El Principe Valiente, Superman, 2000 AD, Clásicos de EC, etc, etc, etc…

Otra de mis debilidades es que soy un mitómano y todo lo relativo a grandes tipos me apasiona, los hermanox Marx, Elvis Presley, John lennon, Kennedy, Ozzy Osbourne, etc… cualquiera que haya tenido una vida diferente.

Uniendo esas dos pasiones salen los mitos en el mundo del cómic, dónde destacan Kirby, Byrne, Art Adams, Alan Moore, Jim Lee, Jeph Loeb, Walter Simonson, Dufaux, Marini, Pacheco y un largo, largo etc… de los cuales no miro más y lo compro.

Dentro de ellos está Frank Miller. Después de arreglar Daredevil y narrar una etapa con Electra incluyendo su muerte, después de dar un pasado ninja a Lobezno en Honor, de escribir Bad Boy para que lo dibujara Mr. Simon Bisley, o narrar las historias bélico-futuristas de Martha Washinton con el mítico Dave Gibons de Wathcmen, se curro el mundo de la ciudad de Basin (Sin-City). Viendo la película casi podía oler ese olor a papel de cómic recién comprado. Mmmmm. Lo siento por aquellos de vosotros que no disfrutéis esta pasión.

Una de las obras cumbres, que se compra en edición de lujo por su formato, es el 300. En ella se narra la historia de 300 espartanos en la batalla de las Thermopilas contra todo el ejército turco. Con todo lujo de detalles en sangre, vísceras y dureza de una época que no debía ser especialmente simpática.

Y direis… ¿a que coño me cuentas esta movida en el lado del mal? Pues os lo cuento porque aprovechando que desde hace un año y medio venimos haciendo los eventos gordos de Madrid en Kinepolis, siempre se contrata una película para después, que todos los asistentes pueden ver gratis. El año pasado en el Security Day 2006 contratamos Misión Imposible III (uff!).

Para el día 29 de Marzo, es decir, la semana que viene, me pidieron que participara en el Developer Day 2007:

-¿Yo? ¿Entre programadores? ¿are you crazy? Venga, entre tú y yo ¿cuántos petas de white widow te has metido?
-Tranquilo maligno, que solo es hablar de joder webs
-Ah, vale, de eso sepo algo, pero no se como me pillará, estoy un poco agotado últimamente…
-Ponemos gratis la película de 300 ¿la conoces?
-Apúntame que voy. ¿De qué dices que tengo que hablar?


Así que nada, si queréis venir a ver la película, podéis apuntaros en la siguiente URL:

Spectra Developer Day 2007

Ah, sí, y con la entrada de película se habla de tecnología,… pero no es obligatorio…

¡Bies malignos!

viernes, marzo 23, 2007

El sistema Solar II

El mundo de los videojuegos es más duro que la seguridad informática. No hay comparación. Para poder disfrutar del WOW necesitas un jugador potente. Esto para un gamer como Rodol no es problema, pero para alguien como yo, que aún no ha conseguido terminarse el Gears of War, es más tiempo del que tengo para ese juego.

En esta situación se encuentra mucha gente, y es por eso que surgen otras modalidades, como la de comprar un player ya entrenado y con nivel o por ejemplo crearlo y dejarlo en manos de entrenadores profesionales que lo van a estar educando por los mundos de Warcraft para que tú ya te lo encuentres en un nivel aceptable.

Con los movimientos de Sun a veces tengo la sensación de que se está realizando algo similar con respecto a Open Solaris. Tiempo ha, me perdía pensando en que sucedería si Linus Torvalds tomara una decisión controvertida sobre la licencia del kernel de Linux. Al plantearse las alternativas al kernel del finlandes (..y de Morton .. y de Cox .. y de todos los contributors) hurd no parece tener posibilidades y es inevitable terminar por echar el ojo sobre "el sistema solar".

Esta sensación de que Sun se está preparando para luchar contra su competencia directa, las distribuciones de Linux más extendidas, siempre está cercana. No hay que olvidar que el principal competidor de Windows Vista no es otro que Windows XP SP2, Windows XP, Windows 98 SE o Windows ME,… no, éste seguro que no.

De nada le sirvió a Sun ser el que llegara primero a Java, ya que IBM o BEA le comieron la merienda en los servidores de aplicaciones con Websphere o Weblogic (Sin buscar en Google, ¿Cómo se llama el Servidor de aplicaciones Java de SUN?) así que ¿por qué no le iba a ir bien con Open Solaris? Con la liberación de Java y la financiación a RMS ha conseguido bastantes simpatías entre la comunidad más cercana a la fsf.

Esta semana, Ian Murdock, fundador del proyecto Debian (aquél del tablet PC en Zaragoza), ha pasado a la nómina de la compañía del sol para mejorar la usabilidad de Open Solaris. ¿No os queda a vosotros también la sensación de que se está armando con buenos gamers? En mi pasado profesional tuve la ocasión de estar con lo que se llamaba el Superhub en Sun, que no era nada más que el soporte telefónico para toda Europa y que se daba desde el norte de Madrid,… y os aseguro que eran buenos. Un buen soporte, una empresa que sabe hacer tecnología, el apoyo de la comunidad, Java, hardware propio con gente que seguro que va a saber hacer buenos drivers,… Suena a que Sun quiere jugar a este juego con un buen player. ¿Realmente hay aún tanta guerra por el sistema operativo? ¿Puede cambiar tanto la balanza?

Saludos Malignos!

jueves, marzo 22, 2007

A ver si ligamos sin pagar!

El mes de los fallos de los navegadores, el mes de los fallos del kernel, la semana de los fallos de oracle database fallida, el mes d elos fallos de apple, el mes de los fallos de php y ahora el mes de los fallos de MySpace!

Los investigadores, según ellos mismos, son:

"Me: Mondo Armando. Him: Müstachio."

y el resto de su vida tampoco es importante (según ellos). La idea es encontrar fallos del sistema de MySpace porque:

"Myspace is important, in that there are a bazillion users and a kajillion dollars involved."

,pero vamos que dicen que podrían haber elegido cualquier otro de Google, Spectra o Yahoo.

Su intención no es hacer mucho daño:

"we don't intend to have too many "real" bugs. Most of what we intend to publish are silly XSS/misleading CSS style bugs that Myspace users may actually be able to use for a little while, and that involve only Myspace.com stuff"

Están recogiendo todos los bugs que la gente les mande porque esto comienza en Abril, así que, si tienes alguno por ahí, mándaselo a su mail: mondo_armando@catholic.org

La verdad es que tras leer sus posts y ver su foto estos tipos ya me han hecho reir, a pesar de que parece que van en serio.

El MOMBY

¿Servirá alguno para ligar sin pagar o esos no serán publicados?

miércoles, marzo 21, 2007

Benigno

Hace un frío de cohone aquí en Tudela y me cayeron unas buenas nieves, pero después de la sesión de Seguridad en Windows Vista tuvimos tiempo para tirarnos una foto. Además le firme la camiseta “con amor” y le regalé otra firmada a Alvaro para el equipo de masbytes, por tener todos sus servidores en Spectra.

Benigno & Maligno & Álvaro SAT de Masbytes

Pregunta: Si es el mes de los fallos de PHP y estamos a día 21 de Marzo, ¿no deberían haber sacado solo 21 fallos? ¿es que están ahorrando?

martes, marzo 20, 2007

Contraseñas Seguras

Se que me pusieron el maligno por algo, así que en fin, haciendo honor a este “cariñoso” apodo, os escribo estos bits hoy.

Actores: Chico Maravillas & Maligno

Escena 1:

Ubicación: London, hora tardía.
Situación: Nos estamos descojonando (cariñosamente) con el anuncio KTTT (KDE Tic Tac Toe) como novedad en KDE4. Surge la idea del KTETO.

Escena 2: Llamada de teléfono

-“¿Chema?”
-“Dime feo”
-“Nos han concedido el proyecto en Sourceforge. ¡Sácate una cuenta que comenzamos!”
-“Oka, allá que voy. Me abro y no de patas”


Escena 3: Sacando la cuenta

Después de rellenar todos los datos y de recibir el e-mail a la hora de verificar la contraseña después de 5 intentos me paro a leer con calma el problema y obtengo este poema:


1.- Debo tener más de 18 años para hacer un proyecto. ¿Esto por qué será? ¿Serán pornos los otros proyectos? ¿o es que no quieren proyectos infantiles? No, esto no puede ser, porque para que nos hayan aprobado el KTETO...

2.- La contraseña me falla porque es “demasiado compleja” y me obligan a poner passwords que tengan solo letras y dígitos numéricos. Claro. Inútil de mí, que quería proteger bien mi contraseña. Total, lo mismo está en una bonita tabla de mysql en texto claro y me estoy comiendo la cabeza por una tontería. Pero... ¿alguien ve una explicación clara a esto? ¿Qué o cómo habrán programado el sitio para que esto sea así? ¿Será como el sistema de protección de nuestros amigos de formazión con la comilla para evitar sql injections? ¿O será como el sistema de cifrado que se usaba en boinas negras en el nivel 5? ¿Será que hay algún iluminado allí?

3.- Por fin vi la luz, han sido los de HP, se ve en el anuncio “Simplificando la Integración”

Todo un poema.

lunes, marzo 19, 2007

Web 4.0 - Internet 3.11

Internet fue creado para descargar porno (o eso dicen), y ya todos habéis visto, casi seguro, el famoso vídeo. Ahora, en la Universidad de Standford quieren mirar como se puede rediseñar. Y es que Internet nació hace ya bastantes años, con unas limitaciones muy distintas y con unas necesidades que hace ya muchos años que fueron sobrepasadas. Cuando ves una película de los años 70 u 80 y observas el uso que se hace de los ordenadores te sale una sonrisilla de ternura.

En el nuevo diseño se quiere pensar en un Internet adecuado a las necesidades y tecnologías actuales y futuras. Introducir el aprovechamiento de las conexiones wireless, contemplar el uso que las empresas y estamentos oficiales hacen de las redes, contemplar la seguridad de base y utilizar los nuevos servicios y aplicaciones. XML, Servicios Web y estándares WS-*, las arañas de Internet, la difusión de streaming multimedia y de aplicaciones, … el número de tecnologías que se usan en la red hoy en día es increíble. El proyecto se divide en 5 áreas de trabajo: Arquitectura de Red, Aplicaciones heterogéneas, Capas Físicas Heterogéneas, Seguridad y por último Economía y Política.

¿Aguantará una nueva release Internet? Se supone que en 15 años podría aplicarse y en el proyecto actual está la propia universidad, y empresas como NEC o Cisco, pero llama poderosamente la atención no ver a Google, AOL, Yahoo o Spectra.

Todavía recuerdo que cuando entré en la universidad IPv6 estaba a puntito, vamos ya estaba listo, osea, que en un par de meses iba a estar funcionando y mira tú a día de hoy el IPv4 sigue campando y feliz.

Toda la info del proyecto: http://cleanslate.stanford.edu/

Bies Malignos.

domingo, marzo 18, 2007

Nunca fui un Santo

Por eso me llaman Maligno, ¿no?, pero lo cierto es que siempre en San José me han caído regalos y parabienes. Cuando me canonizaron a José María Escrivá me quisieron cambiar el santo, pero ni de coña me dejé. Y es que suelo aguantar a la familia ese día. Del sábado he salido malo, pues el orujo de hierbas no es bueno…. no es bueno si te tomas tres copas de balón con hielo.

El caso es que después de levantarme a las 5 de la mañana por malestar he decidido ver la carrera de F1. Para los que esperáis a verla en diferido deciros que Alonso ha quedado 2º. Y como estoy malito y no quiero pelearme con nadie os dejo un programita hecho en Flash por una empresa de Alicante para hacer caricaturas, yo he hecho la mía, pero no me he sacado muy bien, así que si me hacéis otra mejor que mejor y si os hacéis una vosotros genial sí me las enviáis o la publicáis. Domingo de relax.

Webmarket Editor AEV


Aunque creo que la que me hizo Vizcarra sigue siendo la mejor, jeje.



Bueno, y ya puestos, os pongo el vídeo que ví en el blog de penyasquito sobre el amor.

jueves, marzo 15, 2007

miércoles, marzo 14, 2007

Ponte gocho

Acabó hace un par de semanas la Black Hat DC 2007 en los USA y después de la polémica con el RFID nos dejan disfrutar de los papers, aun no están todos, pero sí están los siguientes:

- Cesar Cerrudo: Practical 10 Minute Security Audit: The Oracle Case
- Ofir Arkin: NAC
- Sean Barnum: Attack Patterns: Knowing Your Enemies in Order to Defeat Them
- James D. Broesch: Secure Processors for Embedded Applications
- John Heasman: Firmware Rootkits and the Threat to the Enterprise
- Kris Kendall & Chad McMillan: Practical Malware Analysis: Fundamental Techniques and a New Method for Malware Discovery
- David Litchfield: Advanced Oracle Attack Techniques
- Kevin Mandia: Agile Incident Response: Operating through Ongoing Confrontation
- Robert A. Martin, Steve Christey & Sean Barnum: Being Explicit about Software Weaknesses
- David Maynor: Device Drivers 2.0
- David Maynor & Robert Graham: Data Seepage: How to Give Attackers a Roadmap to Your Network
- Jose Nazario: Botnet Tracking: Tools, Techniques, and Lessons Learned
- Joanna Rutkowska: Beyond The CPU: Defeating Hardware Based RAM Acquisition Tools (Part I: AMD case)
- Paul Vincent Sabanal & Mark Vincent Yason: Reversing C++
- Amichai Shulman: Danger From Below: The Untold Tale of Database Communication Protocol Vulnerabilities
- Michael Sutton: Smashing Web Apps: Applying Fuzzing to Web Applications and Web Services
- Andrew Walenstein: Exploting Similarity Between Variants to Defeat Malware
- AAron Walters & Nick Petroni, Jr: Volatools: Integrating Volatile Memory Forensics into the Digital Investigation Process
- Ollie Whitehouse: GS and ASLR in Windows Vista
- Chuck Willis & Rohyt Belani: Web Application Incident Response and Forensics - A Whole New Ball Game!
- Stefano Zanero: 360° Anomaly Based Unsupervised Intrusion Detection

Te puedes bajar todos los papers así que ale, a ponerse gocho.

BlackHat 2007 DC Archives

PD: A los que vengáis mañana a Madrid nos vemos! os dejo el frikivideo que se ha currado el Cervi en su casa sobre el evento!.

martes, marzo 13, 2007

Kriptopolis

Desde hace tiempo vengo con Kriptopolis en mi RSS, no para aprender, sino por el puro morbo de ver que tonterías dice sobre seguridad y Windows Vista. Si hay un sitio en el que se haya probado menos Windows Vista y dicho más tonterías por metro de post es precisamente Kriptopolis.

Este es un sitio personal de José Manuel Gómez, que luce sonriente con una captura de Kriptopolis (se que a muchos os costara reconocer la web, pero es la misma, sólo que la publicidad no está en esa foto), el cual, amigable y cercano nos deja su teléfono móvil para que le podamos llamar y consultar cosas por teléfono.

Me molestó bastante cuando en un par de ocasiones me censuró comentarios. Realmente sólo le he puesto dos comentarios sobre dos de sus grandes opiniones expertas sobre seguridad y Windows Vista, pero me los ha quitado, y eso duele. Oh, un dolor en el corazón. Él, defensor de Internet y censurando comentarios críticos (sin un solo insulto, ni palabrota bronxtolita!!).

Ya le dedico Juanito un bonito post a esta gente sobre alguno de sus más laureados y documentados artículos.

Los antivirus para los TLess, yo soy un h4x0r

Aunque reconozco, que del diario de Juanito me encantan el de el Exploit Gato y la ONG que se pasó a Linux y dejó de ser libre.

Pero en fin, que me lio, que hoy quería comentar dos artículos de Kriptopolis que me han dejado fuera de juego.

1.- Pobres mortales.

Este artículo le he llamado el de los pobres mortales en el cual Kriptopolis bajó de los cielos para contarnos 3 años después de que los micros Intel y AMD lo incluyeran en sus micros de PC con un artículo que comienza:

“Es muy probable que nunca hayas oido hablar del bit NX y por tanto ignores lo que esta tecnología puede aportar a tu seguridad.”

¡Pero tio!, ¿qué te crees que leemos nosotros?, ¿el marca de la informática como tú? Porque vamos, creo que del NX ya, una web como la tuya, adalid de la seguridad, debería haber tratado eso tiempo ha. Espero de de la teoría de los canarios de Crispin Cowan o de ASLR puedas escribir otro artículo. Te dejo el pie.

“Vosotros, oh inútiles usuarios de Windows Vista, …” y aquí a tu rollo.

2.- Referencias a los clásicos.

“Lo cierto es que manejo tanto servidores Windows como Linux y tengo que instalar muchos más parches en los servidores Windows que en sus hermanos Linux”

Esto lo dijo un tipo y kriptopolis se hace eco de él, porque.. ¿qué más da que haya muchos más expedientes de seguridad para Linux que para Windows? ¿Para que voy a consultar los expedientes de seguridad? ¿Qué importa que Andrew Morton y Linus Torvalds digan esto? ¿O que los resultados de coverity sean los que han sido? ¿Qué es eso de una herramienta de Análisis estático de código? ¿Y que Ben Chelf publicara este artículo? ¿mmm, quien cojones son Torvalds, Morton, Cowan y Chelf? Dónde va a compararse con el glamour de citar a uno con sus percepciones. Claro, es que tiene el nombre inglés y ya no puede decir tonterías.

3.- La memoria.

Qué nos descubras que la arquitectura de 32 bits tiene un límite de 4Gbs ha sido muy gracioso, pero en mi EPson PJ1 ya tenía calculadora. Lo que es sorprendente es que nos hables de que PAE pueda dar problemas “según Microsoft”. Claro, verás es que las extensiones (para direccional 36 bits), que solo salieron en algunos micros, son para trabajar con un sistema de ventanas (ya que el direccionamiento virtual sigue siendo de 4Gbs) y todos y cada uno de los programas tienen que estar compilados y desarrollados con AWE.

“Los altos recursos que precisa ahora mismo Windows Vista, hacen pensar que esta auténtica "bomba de tiempo" no tardará en explotar”

¿Altos recursos?

Este ha sido la gota que ha colmado el vaso. Mira tío, instálate un Vista. No, mejor, te compras un Vista y luego te lo instalas, y a partir de ese momento empiezas a hablar. En primer lugar Vista corre con 512 Mg, con 1 GB va de la hostia ( y con hardware antiguo). Yo llevo dos portátiles iguales DEL Inspiron 6400 uno con 2 GB (para XP SP2) y otro con 1Gb para Vista. Sorprendentemente va mucho más rápido el Vista debido a la gestión inteligente que realiza de la memoria.

Pero para que veas que entra te dejo un screenshot que sacamos según pasabamos en un ordenador de la Universidad de Sevilla de esos que ponen para que use todo el mundo, para que veas si entra o no. Ya se que puedes pensar que hemos usado el photoshop, pero no, nosotros no hacemos eso, al igual que tampoco censuramos los comentarios.


Sigue con la Biología.

lunes, marzo 12, 2007

La Alcolea

La verdad que llegaba hecho polvo (prometo no quejarme ya más) y el abuelo lo está siempre (lo suyo no tiene arreglo) pero ver a Penyaskito y a Pedro Laguna en la Universidad de Sevilla fue un alegrón, donde además nos encontramos con otros pájaros como Javi Cantón, Vargas o el señor Libreros. De ahí rumbo a Alcolea, llamada de teléfono:

- “Shema, cusha, que soy Juanillo (silverhack) ¿dónde andas?, quillo, Que yo voy para allá en 10 minutos que estoy en cama con un shavalito de barselona”
Partida de caja.
-“Juanillo, explicate mejor, que no se si lo que querías decir es justo lo que yo he entendido”
Partida de caja de Juanillo.
- “¡Mamona! ¡Qué yo no soy pajo, cohone! ¡Qué estoy en el pueblo de Camas con un shavalito que ha venido desde Barselona tomando algo, desgrasiao”


Vale, nos juntamos todos, y a tomar una copa. Luego otra y a la party, copa, copa y tiro porque me copa. Por allí aparecen Rusoblanco con el comando Plasencia (Dani e Irra) en el pepecar, la tropa de Sevilla ya estaba con los cigarrillos de la risa, los litros y los sándwiches de Panrico. [¡Coño! ¿tendrá administración web Panrico?[M. L. (copyright)]). Y dentro “la manteca de la buena” rulando a canuto de megas por segundo mientras la peña se zurraba con el Counter, el Q4, etc… Por cierto, me gane un juego por saber que Opera había hecho la Abadía del Crimen. Je.

La charla la íbamos a dar de 2 a 4 de la mañana, así que había que matar el tiempo y lo decidimos hacer Pedro y yo con una ruta turista en web por Sevilla. Él con su Firefox y sus plugins de “auditoría de seguridad” (¿por qué no te curras un post con todos ellos en tu blog?) yo con mis tools y mi IE. Él con sus XSS, yo con mis blinds y mis sqls. Más que nada buscábamos webs para las demos. Intentabamos hacer alguna de parar motores de bases de datos, así que estuvimos probando varias. Al final dimos con 3 o cuatro, pero claro si las probábamos ya no podríamos usarlas. Dura decisión.

Al final, la mejor de todas demos, sin duda (bueno a parte de ver la del betis y el barsa) fue la de Chuck Norris. ¿Tenéis valor a compraros un poster de Chuck Norris y pagar menos?

Después Sirw2p planteo un reto de 5 niveles a las 5 de la mañana, ¡será capuyo!, ¡justo cuando me iba a sobar!. Ale, hasta las 6 dándole, pero el abuelo ya necesitaba el suero y descansar. En fin, que el reto está online en la siguiente URL: http://retohacking.4444mb.com/ y podéis jugar con él. ¡Gracias por currártelo Sirw2p!

El sábado nos volvimos y dejamos allí además a Gospel (que dio su charlita de bluetooth magistralmente), Anelkaos, la gente del hacker.net y demás. Lloros, abrazos y lágrimas. Diversión y buen rollo por una buena causa. Mola!

PD: Gracias Sorian por la placa de recuerdo, me hizo mucha ilusión. A todos, ¿me mandáis las fotos?

domingo, marzo 11, 2007

De Película

Más muerto que Jim Morrison, más game over que Glen Medeiros, más kaput que la perestroika, más jodido que Jenna Jameson, más reventado que el lute, más “quemalaeslaedad” que el padre parada, más hecho polvo que una hormiguita en la calle estafeta el 7 de Julio, más tirado que los décimos no premiados de la lotería de navidad. En fin, creo que habréis entendido que estoy cansado. Ha sido una semana dura.

El caso es que metidos en la vorágine de esta semana (*) el jueves, haciendo horas de nocturnidad (y alevosía) nos quedamos 5 subnormales a grabar un corto en el que me tocó hacer de asesor Tecnicoless linuxero. Bendita cruz y benditas ganas de hacer el gilipollas. Como siempre al niño le toca hacer de bobo y en un reparto de “autentica vergüenza” el Padre Parada hizo de jefe “quetodolosabe”, el gran Sauron de ITPro “god” de la compañía, “Damisela” Salgado, el developer evangelist de Bilbao hizo el papel del picateclas y el Cervi hizo el más importante de los papeles ¿el del water? No,no, hizo el papel estelar de Scorsese, digo… creo que le pega más el rollo Amenabar/Almodóvar (XD), vamos, que como era el más feo le pusimos a grabar.

Total, que en los eventos de Barcelona (13 de Marzo sin mi) y Madrid (15 de Marzo conmigo) se verá el corto completo, pero hemos subido al youtube el primer video en el que yo hago de Asesor. ¡Qué el gran Kevin Smith me perdone!



(*)
- 4 Security On Sites: seminarios de 5 horas c/u
- 2 Webcasts: de 1 hora y media
- 1 charla en la UPM en el University Tour
- 6 reuniones de trabajo: 1 h de media
- Artículo de PCWorld: A ratos y huecos (siento el retraso mr. Comino)
- un par de tanteos a un par de webs por curro: 1 h c/u
- n atascos con el coche
- Viaje Madrid-Sevilla-Alcolea del Río de ida y vuelta
- Charla de 2 a 4 de la mañana con el gran Pedro Laguna en la Alcolea (ya os contaré más-)

viernes, marzo 09, 2007

Intelligent Application Gateway: Una VPN en una página web (II de II)

Asegurando el EndPoint

El EndPoint, o extremo de la VPN, es el cliente remoto. En la mayoría de los casos el que el cliente que se conecte a la red no se convierta en una amenaza es una de las grandes preocupaciones debido a ello nacieron las Redes de Cuarentena VPN y hoy en día evolucionan hacia el Network Access Protección (NAP) según Microsoft o Network Admission Control (NAC) según CISCO. La idea es la misma, no permitir una conexión a la red que no cumpla unos determinados requisitos.

Para realizar esto IAG utiliza Políticas de Seguridad. Estas le permiten al administrador de la red realizar cosas como evitar que alguien suba un archivo adjunto a través de OWA en un correo electrónico o un en SharePoint Portal Server 2003, si no tiene el antivirus instalado y actualizado a la última versión de firmas, o directamente si no tiene antispyware que no se pueda conectar.

Imagen: Políticas de Seguridad por defecto

IAG viene con un conjunto de políticas para empezar a administrarlo, pero se pueden configurar múltiples y de diversas configuraciones políticas de forma sencilla. En las imágenes 8 y 9 se ve como se configura una política para comprobación del antivirus y se puede observar como el producto permite realizar comprobaciones sobre el navegador, el antispyware, el sistema operativo, o el firewall entre otros.


Imágenes: Configuración de una Política de Acceso.

Seguridad. Filtrado a nivel de URLs

Además de securizar la red mediante comprobación de restricciones en el cliente, al ser una VPN que funciona sobre http, extiende la funcionalidad del filtro HTPP-Screener de ISA Server para permitir detectar ataques de SQL Injection, Buffer-Overflow o Cross-Site Scripting. Además, la sesión está mantenida entre el cliente y el portal, siendo el propio IAG el que abre las sesiones con cada una de las aplicaciones. Esto permite que el robo si alguna aplicación es susceptible a un ataque de robo de sesión mediante cookies este no pueda realizarse ya que el cliente no recibe ninguna información de la sesión con la aplicación, únicamente de la sesión con el IAG. Al realizar este proceso la superficie expuesta es reducida a su mínima expresión.

Monitorización e Informes

Los sistemas de monitorización y los informes que nos ofrece la solución son quizás un punto a mejorar, pero la integración del producto dentro de la “familia Microsoft” ha hecho que se haya anunciado para el año que viene un Mom pack para el producto que se integrará con Microsoft Operations Manager 2005 y System Center Operation Manager 2007 con lo cual toda la potencia de estos productos estará al servicio de Intelligent Application Gateway.

No obstante el producto viene con opciones para realizar una monitorización de todas las conexiones al portal y las aplicaciones que se encuentran en ejecución permitiendo realizar una gestión centralizada de las sesiones.

Imagen: Actividad del Portal

Consideraciones Finales

Intelligent Application Gateway es una opción más para securizar el acceso remoto de clientes a las aplicaciones de la compañía. Tiene una serie de ventajas que creo que se deben resaltar:

- Acceso controlado: Solo se permite acceder a aquellas aplicaciones que son publicadas.

- Pocos cambios en la infraestructura: No hay que abrir nuevos puertos ni hacer despliegue de software entre los clientes.

- Integración de aplicaciones: No solo como producto de seguridad sino como integrador de aplicaciones permite construir un portal corporativo de fácil acceso para los usuarios remotos.

- Integrado con las principales aplicaciones del mercado. Lo que nos va a permitir realizar un despliegue sencillo, probado y eficiente que va a optimizar el acceso.

- Filtrado a nivel de aplicación e inspección de todas las conexiones.

- Establecimiento de políticas de seguridad de fácil comprobación: Para decidir la política de seguridad se utiliza el mismo cliente que para acceder a la aplicación y su despliegue es automático porque está integrado en el navegador de Internet con que se accede.

Disponibilidad del producto

A pesar de que para muchos el producto pueda sonar a nuevo, la compañía desde hace más de 8 años, está focalizada en soluciones SSL VPN. A día de hoy el producto se adquiere en appliances. Estos van a ser fabricados por la compañía Network Engines que actualmente tiene una de las mejores soluciones de ISA Server en Appliance. Aprovechando la experiencia de la compañía se va a poder adquirir W2003+ISA Server+IAG integrado en un hardware robusto con soporte.

Imagen: IAG en 2U

Referencias:

- Intelligent Application Gateway: Una VPN en una página web (I de II)
- http://www.whalecommunications.com/
- http://www.microsoft.com/isaserver/whale/faq.mspx

jueves, marzo 08, 2007

ISA e IAG Again

Esta semana, en mitad de la vorágine de curro estoy realizando dos webcasts sobre ISA Server 2006. El primero lo hicimos el martes (está grabado y se podrá ver en breve en la siguiente URL) y hoy jueves vamos a hacer otro sobre las soluciones VPN en ISA Server 2006. La sesión que vamos a grabar es la que hicimos en la gira de “Secretos en Red” en Octubre y Noviembre, ya sabéis, la de inseguros.

A partir de Enero de 2006 Micro…digo, … Spectra compró una nueva solución VPN que se llama IAG (Intelligent Application Gateway). Ya escribí sobre esta solución en la revista Windows TI Magazine y lo publiqué en un post, pero en el mes de Febrero publiqué en PCWorld un artículo más extenso. Para los que vayáis a ver la sesión esta tarde os recomiendo la lectura de este primero ,y el de PCWorld, para completarlo. El artículo tiene dos partes, la segunda la pondré mañana.

- Artículo IAG Windows TI Magazine o en la web de Windows TI
- Artículo PCWorld - Primera parte
- Artículo PCWorld - Segunda parte
Bies!

Intelligent Application Gateway: Una VPN en una página web (I de II)

Microsoft nos anunció en Julio que adquiría la empresa Whale Comunications, convirtiéndola así, como ya sucedió con Sybari o Giant Company en una Microsoft Subsidiary. ¿Qué tecnología aporta IAG a Microsoft? El producto nos oferta una forma más de montar soluciones seguras para clientes remotos sin ser un coste para la administración de la infraestructura, ya que vamos a utilizar túneles SSL (Secure Socket Layer) simplificando las tareas de administración. IAG es una solución montada sobre ISA Server (Internet Security & Acelerator) y que extiende tanto las funcionalidades para Redes Privadas Virtuales en cuanto a implantación, en cuanto a seguridad del cliente como de filtrado de las comunicaciones.

Imagen: A Microsoft Subsidiary

¿Y qué puertos tengo que abrir?

Esta es una de las preguntas que más veces nos realizamos, los puertos, puertos, puertos. Sobre todo en las conexiones VPN (Virtual Private Networks) donde los puertos dependen de los protocolos que utilicemos. Así si usamos una infraestructura de PPTP (Point to Point Tuneling Protocol) tendremos que abrir unos puertos determinados, pero si decidimos usar L2TP (Layer 2 Tuneling Protocol) sobre IPSec para autenticar las conexiones a nivel de máquina necesitaremos abrir otros, además de permitir el tráfico de los protocolos AH (Authentication Header) y/o ESP (Encapsulated Security Payload) sobre los routers y/ firewalls y sin olvidarnos tampoco de permitir la negociación de las SA (Security Associations – Asociaciones de Seguridad) que se negocian con el protocolo IKE (Internet Key Exchange) que trabaja por el puerto UDP 500.

Sí, así es montar una VPN, bueno, no solo así, aún tiene más gracia todo esto, pero la idea de este artículo no es realizar un estudio detallado de todas las soluciones que tenemos para montar una infraestructura de conexiones VPN sino hablar de una que no tiene que configurar muchos puertos. De hecho solo debemos configurar uno. ¿Cuál? Sigue leyendo.

Tipos de VPN

Sin pretender hacer un análisis exhaustivo de los tipos de VPN si que quería centrarme en dos características. La primera de ella es sobre la arquitectura de la VPN donde tendremos dos tipos distintos:

- Conexión entre sedes (Site to Site): En este tipo de VPNs se establece una conexión entre dos cabezas de puente y es totalmente transparente para todos los clientes de ambos sites.

- Conexión para acceso remoto de clientes: Se crea una extensión VPN de la red para permitir que clientes remotos accedan a los recursos de la red.

En segundo lugar podemos clasificar las soluciones VPN en función del nivel, dentro de la torre de protocolos de comunicaciones, trabajan. Así tendremos VPNs que funcionan a nivel de conexión, de red o nivel de transporte.
ISA Server en sus versiones 2004 y 2006 nos ofrece la posibilidad de crear redes VPN tanto Site to Site como para clientes de acceso remoto utilizando PPTP y/o L2TP sobre IPSec. En el caso de IAG tenemos una solución de VPNs pensada para dar conexiones seguras a clientes remotos utilizando una implementación a nivel de transporte basada en SSL.

Una VPN que funciona como una página web

Para realizar este proceso de gestión de la VPN, el cliente no necesita tener instalado ningún cliente en el equipo y su forma de conectarse a la red va a ser a través del navegador. No, no es una aplicación html, es una aplicación que utiliza un frontal web para realizar conexiones de datos usando http-s.

Voy a intentar explicarlo de forma sencilla, para que hasta yo lo entienda. Imaginemos un cliente remoto que quiere acceder a un sistema de ficheros remoto situado en un servidor de la red. En el caso de una VPN “clásica” basada en PPTP o L2TP la petición de listado de ficheros se cifraría con PPP en ambos casos, se cifraría también con ESP en el caso de usar L2TP/IPSec y se enviaría desde el cliente hasta el servidor utilizando para enlutar por Internet los protocolos GRE o IP. El mensajito cifrado (y autenticado en el caso de IPSec) llega al servidor VPN que desencapsula el mensaje de petición de listado de ficheros y lo reenvia por la red interna para que le llegue al destinatario.

Con IAG el cliente no establece una conexión VPN, con lo cual el servidor no tiene que estar manteniendo todas las conexiones de los clientes simultáneamente, sino que simplemente se conecta a un portal web donde es autenticado. Una página web. Esta conexión funciona con HTTPs con lo que va cifrada y autenticada. El cliente, tras autenticarse abre una de las aplicaciones que se le sirven en el portal, por ejemplo un acceso a ficheros. Esta aplicación se carga sobre un ActiveX que corre sobre el navegador Web. Cada vez que el usuario realiza una petición sobre el ActiveX se va a genera un mensaje que va a ir sobre http-s que va a llegar a IAG. Una vez allí, se va a desencapsular hasta el nivel de aplicación, es decir, hasta el http y se va a reenviar hacia el servidor de ficheros destino.

Imagen: Acceso a Servidor de ficheros a través de IAG.

Implantación y Arquitectura

Nada más correr el asistente de instalación de IAG sobre nuestra máquina se nos va a crear un portal web al que vamos a poder entrar a ver nuestras aplicaciones.
Durante el proceso de instalación debemos dar las opciones de configuración del portal y el repositorio de autenticación de los usuarios a los que queremos permitirles el acceso.



Imágenes: Instalación del portal troncal de acceso a IAG y configuración de autenticación de usuarios

Una vez instalado el portal el siguiente paso es configurar las aplicaciones disponibles. Estas aplicaciones pueden ser de cuatro tipos:

- Web Applications: En este tipo de aplicaciones se incluye una lista de aplicaciones basadas en arquitectura Web que han sido probadas, testadas e integradas, como por ejemplo, Outlook Web Access, PeopleSoft, SharePoint Portal Server 2003, WepSphere, SAP Enterprise Portal, etc… La publicación de una aplicación de este tipo está integrada 100 % con IAG. Además, para este tipo de aplicaciones existen ciertos optimizadores que realizan opciones de caché y empaquetado de peticiones para reducir la carga de tráfico. Todas las aplicaciones que se publiquen con esta plantilla pueden también ser publicadas a través de las plantillas genéricas de Aplicaciones embebidas en el Navegador, pero todas las aplicaciones que están reconocidas aquí permiten aprovecharse de opciones de Single Sign-on, ya que IAG conoce perfectamente la forma de autenticar a los usuarios en las aplicaciones, optimiza el acceso, etc…

Imagen: Configuración de propiedades de Autenticación en una aplicación Web. En este caso NFuse de Citrix

- Aplicaciones Empaquetadas: En este tipo de aplicaciones existen componentes integrados dentro de IAG para acceso a los servicios y que vienen dentro del propio cliente IAG. Dentro de esta categoría se encuentra entre otros el acceso a los sistemas de ficheros que nos va a permitir, entre otras cosas, que cada usuario tenga mapeado su directorio personal en el acceso al portal.

- Aplicaciones Cliente/Servidor: Cualquier tipo de aplicaciones Cliente/Servidor puede ser integrada dentro del IAG, para ello se debe configurar la conexión de IAG al servidor, estableciendo cuales son las configuraciones de acceso al servidor. En este caso IAG desempaqueta el tráfico que le venga del cliente y se lo envía al servidor y viceversa. Utiliza un cliente genérico que funciona como una pantalla. Así, es posible integrar una aplicación telnet, una aplicación Oracle Developer, etc…

- Aplicaciones embebidas en el navegador: El resto de aplicaciones basadas en web. Está pensado para desarrollos propietarios de cada compañía que haya que securizar.

Imagen: Añadiendo aplicaciones al portal

En la imagen siguiente se puede observar un entorno en el que se han añadido múltiples aplicaciones que son accesibles todas desde IAG.

Imagen: Portal de Acceso a las aplicaciones

Hasta el momento hemos visto como tenemos una solución que permite a clientes remotos acceder a aplicaciones internas utilizando como sistema de securización una VPN basada en SSL a través de un Gateway, ahora, ¿qué más podemos hacer?

Intelligent Application Gateway: Una VPN en una página web (II de II)

miércoles, marzo 07, 2007

Puto Desastre

Así me dicen mil veces el abuelo y el cervi. "¡Eres un puto desastre!". Y la verdad es que con el ritmo de combate que uno lleva se le pasan las cosas.

Por ejemplo, se me ha pasado deciros que hoy doy una charla en la Politécnica de Madrid (no lo puse en los eventos), je. Lo siento, ya ni os digo nada porqué empiezo en 1 hora y media así que perdón. También se me ha olvidado deciros que el día 13 al final no voy a estar en Barcelona, aunque esperamos grabar algún video chorra para poner allí.

El 20 de Marzo en la EUITT (Madrid), el 20 de Marzo tarde en Tudela, el 21 también en Tudela, el 23 en Huesca y el 30 en Avila y el 7 de Mayo estaré en la UPNA (Pamplona). Siento ponerlo así y con tan poco tiempo, pero es que no he tenido ni un minuto para actualizar la plantilla (lo siento aún por los del firefox) y ya os pasaré los links de registro por si alguien quiere ir a alguna.

Aprovecho para deciros que también estamos organizando la continuación de la gira que estamos haciendo con GFI y que seguramente engañe a "pajarraco" de lo Santos para que se venga con nosotros, así que iremos, como dice él "Juntos de la mano". Yo no quiero decir nada, pero le he visto acercandose muy cariñoso a mi últimamente. Me pone unos ojitos que no se yo. Este me abre el firewall a la mínima.

Prometo también acabar la serie de secretos en red y trasmito desde aquí la enhorabuena a los que han acabado el reto II, aun queda el 5º premio. ;)

A los que estuvistéis en el Webcast de ayer por Internet gracias, por los saludos y tal. Si estáis mañana, pues nos vemos otra vez!

Como no tengo mucho tiempo os dejo un reto sencillo hoy: Solo con la info que ves...¿diseñador o Programador?

¡Me piro que no llego a la charla!

martes, marzo 06, 2007

Virus en XBOX

Famosos son los virus de Windows, pero en la XBOX aún no hemos tenido una infección similar a través de los servicios Live. Sin embargo, sí que hemos tenido otro tipo de virus afectando a la consola, los virus del marketing.

El marketing viral es, según la wikipedia:

“El marketing viral y la publicidad viral son términos empleados para referirse a las técnicas de marketing que intentan explotar redes sociales preexistentes para producir incrementos exponenciales en "conocimiento de marca" (Brand Awareness), mediante procesos de autoreplicación viral análogos a la expansión de un virus informático. Se suele basar en el boca a boca mediante medios electrónicos; usa el efecto de "red social" creado por Internet y los modernos servicios de telefonía móvil para llegar a una gran cantidad de personas rápidamente.”

Y tiene su gracia ¡coño!, a mi me encanta ver a las compañías haciendo chascarrillos y coñas. Famoso es el vídeo donde el hacker Stevo era interrogado por los “virus” Smith en un Matrix, donde un cibernético Morpheo Gates, le ofrecía las píldoras de salida del trance, una roja y una azul. ¿adivináis quién es quién en las pildoritas?



Nosotros hicimos unos vídeos de coña también para la promoción de una de las giras de seguridad, en el que el tema era: “Tú puedes ser inseguro, tus comunicaciones no” y planteamos tres situaciones en las que suceden cosas por inseguridad. ¡Qué tristes somos!.

Inseguros

Estos videos anteriores tienen un reconocimiento claro de la autoría, pero a veces aparecen algunos de marketing viral que cruzan la raya, que van más allá de lo correcto y hacen un pelín más de sangre de la que una compañía puede hacer a sus competidores (públicamente, que en privado es otra cosa). Así que, un día, llegan a nuestras vidas para ser difundidos a nuestros amigos.

Un día llegó por mail este vídeo de la XBOX (la primera) y nunca supe de donde apareció, como nadie lo había visto lo he subido al youtube para que lo veáis, no es cañero, simplemente es moloncete.



El que fue el gran divertimento y descubrimiento del año, para mi, es el de la XBOX 360 sobre que hacer cuando la Play llama a tu puerta.



Y es que en el Mercado de los games ha habido gran tradición con este tipo de guerras virales. Otro que apareció fue el de ¡Why Sony Sucks!



O la comparación con goleada incluida con el Halo 3 de por medio.



Este de la cancioncita de “Sony you will burn with your PS3 I just keep playing my 360”



Pero no podia dejar de poner todos estos “virus” sin mencionar el de Golum sufriendo entre el FIFA y el ProEvolution Soccer. “Se aprovechan de que eres un friki”



¡Qué grande! “Futbolistas, no turistas! Y la segunda parte…



Con las lecturas de juegos… jeje “pelacables” jaja.

Venga, va, ¿cuales os molan a vosotros de este tipo?

lunes, marzo 05, 2007

Mi mama No me mima

No puedo discutir con mi madre, simplemente no puedo. Si me dice algo que no me interesa la diré “sí, mama” y luego ya haré lo que quiera, pero discutir con ella no. No, porque me saca de cuadro, me deja hecho unas trizas anímicamente, es como en la peli de Dogma dónde si los ángeles pasan por debajo del arco significaría que Dios se ha equivocado y sería el fin de todo lo conocido.

Además, no parece tener sentido, tu mama siempre va a querer lo mejor para ti, eres su hijo leñe. “Esas barbas te dan mal aspecto”,“Estás muy flaco”, “viajas mucho”, “no te veo nada”, “me llamas poco”….

Con el tema de los programas sucede lo mismo, cuando instalamos un software siempre es la marca del fabricante la que nos da la confianza. Si el fabricante nos pasa unos binarios siempre podremos tener una duda razonable y un punto de autocrítica que nos llevará a hacerle algunas pruebas, pero casi siempre serán funcionales y no auditorías profundas de seguridad.

Ken thompson, hace más de 20 años, hablaba sobre el problema de la confianza en compiladores e informáticos aportando un poco de paranoia a los que le escuchaban. Gracias a Txipi [máquina!] podéis leer una traducción muy chula.

Reflexiones sobre confiar en la confianza

Recuerdo un caso de un código fuente de apache troyanizado, la idea era que te instalas el apache y ya estás troyanizado, pero para eso tenías que conseguir que la gente se descargara tus fuentes y no las del repositorio del fabricante.

Troyanizar las fuentes de Apache

Ahora, con Wordpress la cosa ha ido un pelín más lejos, no solo han entrado en el servidor, sino que han cambiado los archivos a descargarse por los usuarios. La cosa pinta gorda. Lo que han hecho ha sido añadir una shell php a los códigos de administración de wordpress para tener troyanizados todos los WP que se instalen. ¿Lo podrán limpiar rápidamente?

WordPress 2.1.1 Dangerous Upgrade

Como curiosidad, hace ya más de 7 años hicimos un programa que instalaba netbus y nos mandaba un mail con la dirección ip del que estaba infectado. El programa se llamaba “noseque con netbus.exe” y lógicamente era solo una prueba para jugar en clase. Hasta el año pasado nos estuvo llegando algún mail.

Bies!

sábado, marzo 03, 2007

Test de Intrusión (II de VI)

****************************************************************************************
Artículo Publicado en PCWorld Abril 2007
- Test de intrusión [I de VI]
- Test de intrusión [II de VI]
- Test de intrusión [III de VI]
- Test de intrusión [IV de VI]
- Test de intrusión [V de VI]
- Test de intrusión [VI de VI]
****************************************************************************************

Spidering

Las técnicas de Spidering se utilizan para poder encontrar toda la información que se nos ofrece gratuitamente a través de los sitios web de la compañía. Nos ofrece páginas html, aplicativos, ficheros de imágenes, documentos, javascripts, applets, etc… Cuando realizamos un pentest hay que sacar toda la información que se pueda extraer de comentarios, meta información de archivos gráficos o documentos, etc… Por ejemplo los archivos doc de Microsoft Office no suelen ser limpiados de la información de sus creadores antes de ser publicados y generalmente nos van a dar rutas de archivos en máquinas locales y nombres de cuentas de los usuarios en los dominios. Sólo por poner un ejemplo. Además, cuando se está realizando una descarga completa de un sitio se busca también aquello que, aparentemente no está publico, pero que es predecible, como los directorios típicos /cgi-bin, /bin, /images, /admin, /privado, etc… y los archivos predecibles, como archivos de ejemplo, configuración etc… Para ello se utilizan herramientas que se llaman Scanners de Cgi y que, aunque en origen rastreaban programas cgi vulnerables, hoy en día se usan como rastreadores de ficheros en técnicas de spidering.

Ejemplo 1: Documento office descargado de la Universidad de las Illes Balears con información del usuario y la ruta del sistema de ficheros de su creador.

Imagen 5: Usuario tsiralb. http://www.uib.es/recerca/osr/AIsolicitud.doc

¿Os suena cierto escándalo en el gobierno británico con cierto documento sobre las armas de destrucción masiva en Irak que había sido modificado?

Imagen 6: Comentario en una página web que delata que ha sido desarrollada con Dreamweaver. ¿Hay Dreamweaver para Linux?

Imagen 7: Foto descargada desde Internet con meta información sobre el creador.

Es una foto de Arturo descargada desde un directorio que hay por aquí en la misma universidad de antes.[http://www.uib.es/depart/dqu/fotos_arturo/]. Ya sabemos que día fue la fiesta, la camarita e incluso se puede averiguar la hora del día a la que se tiró, que como se aprecia era hora de cena.

Herramientas como Teleport Pro te permiten descargarte todos los ficheros que se ofrecen públicamente en un sitio Web, scaners de cgi como voideye, whisker, cgi-scan o cualquier otro permiten cargar una lista de ficheros y directorios a buscar. Como se puede ver en la imagen, a voideye se le puede configurar el uso de servidores Proxy anónimos para evitar la detección de quien está realizando el escaneo.

Imagen 8: Voideye

Imagen 9: Teleport Pro

Fingerprinting

Ya hemos recogido toda la información que era pública, ahora vamos a recoger aquella que también está accesible públicamente pero que a priori no se puede ver. Es decir, vamos a inferir información a partir de pruebas que vamos a ir realizando a cada uno de los servicios y o servidores. Fácil, ¿no?

Identificación de Sistemas Operativos y/o Firewalls

Para identificar los sistemas operativos que corren sobre los servidores o debajo de los servicios que queremos auditar existen diferentes herramientas. Todas estas herramientas se basan en jugar al ¿Quién es Quién? ¿Recordáis aquel juego en el que se iba preguntando al contrario si tenía bigote o sombrero? Pues es la misma idea. Averiguar el sistema operativo consiste en enviarle distintas petición e ir analizando las respuestas. Por ejemplo, pensemos en un simple ping. Si enviamos en las tramas TPC/IP valores 1 en los bits de urgencia, que no van a ser utilizados por el sistema operativo, y observamos los resultados obtenidos se puede inferir que sistema es. Un sistema Microsoft devuelve esos valores siempre a 0, eso es porque cuando construye una trama TCP/IP de respuesta lo hace desde una nueva trama; sin embargo, un sistema Linux construye la respuesta a partir de la trama de petición. Esto hace que si enviamos 1 y recibimos 0 podamos inferir, con un porcentaje alto de éxito, que el sistema operativo es un Microsoft Windows. Lógicamente el número de pruebas que se pueden hacer son muchas y las diferencias pueden existir entre un Microsoft Windows NT 4 Server y un Microsoft Windows NT 4 Server Service Pack 6. A veces se puede afinar y saber exactamente la versión del kernel de un sistema Linux y otras no. Para ello vamos a utilizar distintas herramientas que ya nos ayudan con un amplio conjunto de diferenciación de sistemas operativos.

Nmap

Es un scanner de información sobre servidores, y, aunque su principal utilidad es la de un scanner de puertos tiene opciones de reconocedor de sistemas operativos. La opción –O (jé,je) También puedes hacer simplemente clic en el interfaz gráfico, si usas un frontend.(;). El escaneo de sistemas operativos que realiza nmap no solo se queda en Windows, Linux, etc.. .sino es capaz de detectar impresoras de red, centralitas PBX, o teléfonos IP. Para realizar esta detección cuenta con una enorme base de datos para hacer una detección entre miles, repito miles, de sistemas operativos (Windows Server NT, Windows NT Workstation SP4, Windows NT SP6, todos los sabores de Linux, etc…) Además, en las nuevas versiones realiza pruebas sobre los puertos TCP y UDP descubiertos y es capaz de sacar conclusiones del tipo Nokia Chekpoint redirigiendo a IIS 6 sobre un Windows Server 2003.

Hping2 (o hping3)

Esta utilidad [hping] se puede comparar con un ping pero a nivel TCP/IP, es decir, podemos, mediante comandos definir la conversación completa con un servidor con un tipo de paquetes enviados. La utilidad nos permite enviar paquetes con los flags que queramos activados, modificando todos y cada uno de los campos de una mensaje TCP/IP: MTU, TOS, Bit de Urgencia, flags de SYN, etc… Esta herramienta va a permitir averiguar el sistema operativo a base de realizar pruebas. Por suerte nmap implementa casi todas las técnicas conocidas para el reconocimiento de sistemas operativos, pero si alguna no estuviera implementada se puede utilizar hping2 para implementarla. Además de para reconocer el sistema operativo también vamos a poder utilizarla para averiguar los algoritmos de generación de números de secuencia (útiles en escaneos de puertos y técnicas de IP-Spoofing), la configuración de un firewall, e incluso la transmisión de ficheros encapsulándolos sobre los paquetes que configuremos.

Los puertos del sistema

El siguiente paso, que en un escaneo rápido se realiza al mismo tiempo, es la detección de puertos abiertos en un sistema. A priori que un puerto esté abierto no es ni malo ni bueno. Un puerto se abre para dar servicio. El problema es cuando se abre un puerto que conecta con una aplicación o servicio que no está securizado o que realmente el administrador ignora que lo tiene abierto en una máquina. Desde el punto de vista de un test de intrusión hay que ver a que servicios se puede llegar.

Detectar un puerto TCP abierto debería ser tan fácil como establecer una conexión con dicho servicio; para ello bastaría con establecer una conexión con un simple telnet, que, además, nos mostrará la información por pantalla que el servicio o aplicación al otro lado del puerto está enviando.

Imagen 10: Telnet al puerto 80

El problema radica en las alarmas que se activen o la información que se deje en los logs cuando se produce el scaneo, hay que tener en cuenta que el número de puertos posibles es de 65536 puertos que pueden ser TCP o UDP.

Lo más probable es que un firewall deje de responder a una determinada IP cuando se haya producido más de un número de peticiones de conexión desde una determinad ip, o cuando se han pedido más de un número por unidad de tiempo, o cuando hay una violación de protocolo (comando no valido que suele denotar que un servicio está hablando con un ser humano detrás de un telnet y que ha cometido un error al teclear o en el comando), etc….

El objetivo de los métodos de escaneo es averiguar todos los puertos que se encuentran ofreciendo servicio por TCP/UDP sin levantar alarmas y dejar el menor rastro posible.

Hay muchos tipos de scaneo, y me encantaría explicarlos todos aquí, pero no tengo espacio, pero si os los voy a enumerar para que podáis buscar más información sobre ellos. Al final la idea consiste en enviar paquetes con una determinada configuración y escuchar como reacciona el equipo escaneado. Un escaneo no tiene porque ser perfecto y a veces no salen todos los puertos si está detrás de un firewall en un único tipo de escaneo. Los más usados son el escaneo de SYN, de FIN, de SYN+ACK, de ACK, el escaneo de NULL, que se realiza con todos los flags apagados y el de XMAS Tree, que recibe ese nombre porque activa todas las banderas como si fueran luces en un arbolito de navidad [Y para UDP e Iddle Scanning].

Scaneo con Nmap

Nmap, realiza el escaneo de establecimiento de conexiones (como si hiciéramos un telnet) que se llama TCP connect(), de SYN (o de conexiones medio abiertas, ya que se envía un paquete SYN a un puerto y se espera la confirmación por parte del cliente sin nunca cerrar la conexión), de FIN, de NULL y de XMAS Tree.

Para los puertos UDP implementa un sistema basado en el envío de mensajes UDP a un puerto de 0 bytes de tamaño. Si se recibe un mensaje ICMP que dice que es inalcanzable entonces es que el puerto está cerrado, por el contrario se asume que está abierto. Este tipo de escaneo, como muchos de los anteriores puede tener un alto índice de falsos positivos debido a que puede que el firewall prohíba todo tráfico ICMP de salida o que se haya perdido la respuesta.

****************************************************************************************
Artículo Publicado en PCWorld Abril 2007
- Test de intrusión [I de VI]
- Test de intrusión [II de VI]
- Test de intrusión [III de VI]
- Test de intrusión [IV de VI]
- Test de intrusión [V de VI]
- Test de intrusión [VI de VI]
****************************************************************************************

Entradas populares