OpenExpo Business Live: Cloud Day 2022 en Vídeo

Ya puedes ver todas las sesiones del OpenExpo Business Live: Cloud Day 2022 en vídeo, que las he subido a mi canal de Youtube, donde están las tres ponencias y las dos mesas de debate esponsorizadas por Microsoft y Google, que además llevan asociadas dos campañas de Tempos patrocinados en MyPublicInbox que puedes utilizar en la plataforma. Además, los ponentes y participantes en esta jornada, los tienes para contactar con ellos en la sección de Perfiles Públicos, en la etiqueta CloudDay2022.

Figura 1: OpenExpo Business Live: Cloud Day 2022 en Vídeo

La jornada está formada por tres ponencias y dos mesas de debate. que podéis ver a continuación.  La primera sesión es una ponencia a cargo de Nacho Fernández, que es Business Development Manager para SMB Partners & Products en Arsys y que habla de "Cloud Services: el camino hacia la Nube".

Figura 2: El camino hacia la nube por Ignacio Fernández

La siguientes es la mesa de debate cuenta con la presencia de ponentes de la talla de María Álvarez, Responsable de Políticas Públicas y Relaciones Gubernamentales de Google, Gema T. Pérez Ramón, Directora de la Agencia Tributaria de Madrid del Ayuntamiento de Madrid, Jorge Bermúdez, Fiscal experto en ciberseguridad de la Fiscalía General del Estado y Sofía Fernández Vázquez, Jefa de Gabinete del Área Delegada de Innovación y Emprendimiento del Ayuntamiento de Madrid, donde se habla de Cloud Computing para la Administración Pública.

Figura 3: Mesa de debate de "Cloud Computing para las administraciones

públicas por transformación digital"

Después tenemos a Matias Sosa, que es Cloud Specialist & Product Marketing Manager en OVHCloud, que habla de "¿Por qué adoptar soluciones PaaS en Cloud?" Algo que suele significar procesos de re-ingeniería de aplicaciones, productos y servicios pero que tiene sus ventajas, ya que se aprovecha de las principales capacidades de la tecnología de Cloud Computing.

Figura 4: ¿Por qué adoptar soluciones PaaS? por Matías Sosa

Posteriormente tenemos la mesa de debate de Cloud Native Developed Business Apps en la que contaremos con Ignacio Melero, que es Azure Developer Technical Lead en Microsoft, Daniel Suarez, que es el CEO de Zapiens.ai, Estela Gil Berlinches, consultora especialista en eCommerce, Marketing Digital y SaaS, y Gabriel Cuesta Arza, que es el CIO/CTO en Mobius Group.

Figura 5: Mesa de debate "Cloud Native Developed Business Apps"

Y para completar la jornada, tendremos una sesión de Vittorio Cioe, que es Principal Solutions Engineer de MySQL Oracle, que habla de "Cómo crear soluciones preparadas para el futuro con MySQL Database Service y HeatWave". 

Figura 6: Cómo crear soluciones con MySQL Database Service y HeatWave

Además, el evento estará presentado por Beatriz Cerrolaza, CEO de Alise Devices y MyPublicInbox, junto con Andrea Andrade, Marketing Communication Manager en OpenExpo Europe y si quieres comunicarte con los ponentes, puedes hacerlo a través de MyPublicInbox, que están contactables en https://mypublicinbox.com/publicprofiles/CloudDay2022

Figura 7: Ponentes del Cloud Day 2022 en MyPublicInbox

Y ahora, a disfrutar el domingo, que mañana comienza el Mobile World Congress y nos traerá una semana por delante más que intensa. Disfruta con los tuyos, que el tiempo es precioso.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Heartbleed puede desangrarte vivo. Tómatelo en serio.

Aunque últimamente ando bastante falto de tiempo libre debido a la cantidad de proyectos que intento llevar en paralelo pero mi carácter curioso e impulsivo me la ha vuelto a jugar y me ha hecho perder un poco de tiempo jugando con un servidor. Por motivos que no vienen al caso, estaba yo echando un vistazo a la página web de alguien relacionado con mi trabajo, el de experto en sistemas de automatización industrial concretamente, que ya sabéis que es de lo que me gusta hablar a mí en mis artículos, pero me topé con un bug de HeartBleed en un puerto menos habitual y he querido hacer este artículo para enfatizar estas cosas:

1.- HeartBleed puede estar en cualquier parte
2.- Es muy fácil de explotar
3.- Cambia las passwords
4.- Pon un segundo factor de autenticación a tus cuentas.

Fase 1: Descubriendo la Vulnerabilidad de HeartBleed

Mientras leía la web y me interesaba por lo que allí había hice lo que cualquier persona normal -, lancé un nmap al servidor donde se aloja - vale, supongo que esto de normal encajaría solo dentro de los que estamos por estas comunidades y que no será tan normal en otros lares -. De entre todos los servicios y puertos que salieron en los resultados hubo uno de todos ellos que me llamó la atención.

Figura 1: Lanzando nmap contra el servidor

Era un servidor de Plesk 11.0.9, algo que no es que sea inhabitual, pero que abre siempre las puertas de poder encontrar algo interesante especialmente al estar alojado en un puerto menos habitual al escaneo, especialmente esos días que la vulnerabilidad de Heartbleed estaba en todo su esplendor.

Figura 2: Plugin de HeartBleed para FOCA

Como aún no había sacado Eleven Paths su plugin de HeartBleed para FOCA que puedes ver en la imagen superior, me fui a buscar cualquiera funcional en exploit-db, y use este en concreto. Lo lancé y esperé el resultado.

Figura 3: Lanzando el exploit al puerto 8443

Como podéis ver, es vulnerable y devuelve 16384 bytes de información de la memoria del proceso OpenSSL dentro de este servidor, pero en este primer intento no hay información de interés en la respuesta que pueda considerarse jugosa. Por el momento.

Figura 4: El servidor es vulnerable al exploit

Fase 2: Explotando HeartBleed de forma automatizada

A estas alturas, como os habéis podido imaginar, ya no tengo mayor interés por la página web que estaba leyendo y me centro en mi vulnerable amigo. Decido pedir la página de login del panel y probar a introducir algunas combinaciones habituales de usuario y contraseña de las que no espero resultados. Ya sabéis, los "sospechosos habituales" admin/admin, admin/Abc123456, admin/123456, etcétera. Creo que hacer esto es un mecanismo de mi cerebro para poder pensar mientras las manos son comandadas por el sistema parasimpático.

Tras varias pruebas obviamente infructuosas vuelvo a lanzar el script de Python y obtengo en el volcado de la memoria la última combinación user/password que había utilizado. Perfecto, es cuestión de hacer peticiones hasta que el usuario legítimo entre al panel, cosa bastante improbable teniendo en cuenta la hora que es.

Figura 5: Opción de fijar el ataque de HeartBleed en el Plugin de FOCA

Esto es algo que hoy en día está bastante automatizado en todos los ataques de HeartBleed, y por eso en el plugin de HeartBleed para FOCA se ha añadido de la opción de lanzar el ataque cada 5 segundos y generar un log, algo que ya podían haber publicado antes y no habría tenido que hacérmelo yo.

Como no tenía claro si a la mañana siguiente tendría tiempo de ponerme de nuevo, preparé un pequeño script en Bash que me hiciera el trabajo sucio de explotar la vulnerabilidad periódicamente guardando los datos cada 30 segundos hasta que pueda volver a evadirme de las obligaciones y centrarme en las diversiones.

Figura 6: Script en Bash para fijar la explotación del bug de HeartBleed

Poco que explicar, sencillo pero funcional. Abro una conexión ssh hacia el equipo que se va quedar haciendo el trabajo y creo una sesión con Screen, me parece una buena opción cuando abro terminales de forma remota porque al cerrar la conexión la sesión se queda abierta en el servidor. Solo queda esperar el tiempo suficiente.

Al día siguiente, cerca del mediodía echo un vistazo al log y sorpresa, en algún momento se ha conectado alguien con credenciales de administrador y éstas han sido capturadas.

Figura 7: Una password en el log

Llegados a este punto no puedo vencer la tentación y entro al panel a echar un vistazo, solo un vistazo, os lo juro, para poder mostrar esta captura y conseguir enfatizar el mensaje final de este artículo.

Figura 8: El panel accesible

Conclusiones sobre HeartBleed

Una de las webs alojadas en este servidor pertenece a un bufete de abogados, por lo que para que quede claro desde el principio el carácter didáctico del ataque he decidido ponerme en contacto con ellos directamente y que sean ellos los que se encarguen de exigir a quien estimen conveniente que apliquen una política de seguridad adecuada.

Hoy en día HeartBleed es ya una vulnerabilidad conocida en profundidad, explotada de manera habitual por todas las herramientas, pero seguro que seguiremos encontrándola aún en multitud de sitios durante años. Es muy fácil de automatizar y sería más que recomendable que tomaras en serio las recomendaciones del principio de este artículo. Haz un escaneo profundo de todos equipos de la red - todos, incluidos los dispositivos de red - y por todos los puertos - todos los puertos - buscando cualquier OpenSSL vulnerable que pueda estar ahí.

Por supuesto, todas las passwords que tuvieras antes de HeartBleed deben ser cambiadas, al igual que los certificados digitales, deben ser cambiadas, porque mucha gente ha estado haciendo estas mismas pruebas y pueden estar en manos de cualquiera. Pon un segundo factor de autenticación a cada identidad que puedas o Latch si puedes a tu web que como dice este artículo "Con Latch el problema de Heartbleed no hubiera sido tan grande". Además, visto este ejemplo de hoy, tal vez sería bueno que el equipo de Eleven Paths - o alguien - sacara un plugin de Latch para Plesk, que parece que hace falta.

Autor: Juan Luis Valverde Padilla
jl.valverde@jvalverde.es

No le vemos problema alguno a los reportes que nos envías

Hace unos dias, revisando unos scripts que realicé en Perl decidí adaptarlos con algunos modulos a una pagina shtml. Tenía montado un servidor Apache corriendo en mi maquina, aceptando scripts en CGI para poder probar las salidas que realizaban desde el servidor hasta el cliente. Decidí buscarme un alojamiento que me brindara la posibilidad de programar Perl en el servidor contratado.

Para mi sorpresa, al ejecutar uno de los scripts que subo descubro que tengo mas privilegios en el servidor desde mi cuenta gratuita de los que me esperaba. Tas reiterados correos electrónicos a la compañía durante dias advirtiéndoles de algunos errores en sus configuraciones, y la única respuesta que recibo es:

//No le vemos problema alguno a los reportes que nos envías//

Como no sé si esto es una cosa solo en mi cabeza, os paso algunos de los los reportes que he enviado que no son considerados como problema:

Reporte 1:

Esta empresa como muchas otras tiene un Panel de Control donde el cliente mantiene un usuario y una contraseña para acceder desde la pagina web del proveedor a sus servicios - facturaciones, dominios contratados, espacio contratado, etc. - y paralelamente acceso a su Cpanel para la configuración de sus servicios dado por otro usuario y otra contraseña.

Figura 1: Información en datos de cuenta

En el primer reporte podemos comprobar como en el Panel de Control del Site podemos ver en texto plano el usuario y la contraseña que da acceso al Cpanel de la configuración de todo nuestro sitio. ¿Realmente es un problema?¿Un error?¿Es normal? Si lo es no se porque tener dos usuarios y dos contraseñas distintas de acceso.

Reporte 2:

Programe un script que listase en una tabla los archivos de un directorio dado con su enlace, pero al hacerlo se me olvidó indicar el directorio a listar. Como aún no tenia claro qué directorios iba a emplear configuré un simple my $dir = '../'; con lo que me dí cuenta de la mala gestión del administrador del sitio.

Figura 2: Ejecución de un listado de ficheros desde Perl

Fue entonces cuando me picó en la nuca ese gusanillo que te hace la tipica pregunta de “¿Y si…?” Pues si. ¿Y si pruebo todo lo que puedo obtener de aquí para tener los suficientes argumentos y que la empresa a la que no le debo nada proteja a sus clientes? Por lo menos los clientes que tengan cuentas que estan pagando un dinero por tener sus ficheros protegidos.

Tras eso cree distintos scripts en Perl que ejecutaban comandos en el sistema. Y estos son los resultados.

Figura 3: Salida de un comando df -h

Figura 4: Salida de un cat /etc/passwd

Sin extenderme más, he de decir que abandono mi cuenta en este hosting, porque no me gustaría que cualquier pudiera acceder al código de mis programas, así que mejor no usar este servidor.

Terminando con este llanto a gritos

Llevo mas de dos semanas intentando de buena fe contactar por todos los medios con esta empresa que suministra espacio protegido a la gente. Me he tomado las molestias de recopilar todo tipo de información para que se guíen a la hora de ver qué ocurre, moletandome para nada, porque la única respuesta ha sido:

//No le vemos problema alguno a los reportes que nos envías//

Pues vale, sin problemas, aquí queda escrito, saludos a http://www.host-ed.net/ por la colaboración aen este articulo.

Saludos
Miguel Francisco Morata

Te borro tu buzón por 50 $

En el último evento del Live Technology Tour que dimos en Bilbao aproveché para pedirle a un compañero del metal y de profesión en esto del enseñar, el amigo de Torrelavega Javi Terán, que me recogiera una "jartá" de papel viejo con dibujitos. Eso que los amantes de la tinta y el papel llamamos Comics o Tebeos.

Cuando los recibí, momento romantico que ocurrió en mitad de las charlas, me puse más contento que unas castañuelas, por lo que me fui feliz de la charla hacia el aerpouerto cargando una nada desdeñable cantidad de unos 80 nuevos comics para mi colección.

Cuando llegó el momento de entrar en el aeropuerto y pasar por el control de seguridad tocó desnudarse. Ya sabéis, gorro, cazadora, cartera, pendrives, teléfono móvil, cinturón, abrigo, maleta, drogas, puñales, portátil fuera de la mochila, dinero (toda la pasta que había ganado con mi último trabajito para Spectra) y bolsas de comics (3). Pasé por el arco de seguridad, y nada... luz verde. Después a vestirse y recoger todo, y sobre todo ... no olvidarse los comics.

Cansado y esperando para embarcar vi que tenía 10 minutos libres, así que pensé: "¿Anoto los comics en la base de datos?" Porque, para mantener la colección de comics que tengo, no pensaréis que la puedo gestionar de otra forma que no sea con una base de datos. "Naaaaa... si quedan 10 minutos". Pero.... el vício me pudo y me repliqué: "Venga va, aunque sean sólo unos pocos". Así que abrí la mochila buscando mi portátil y... no estaba allí.

HORROR, PÁNICO, MUERTE, DESTRUCCIÓN

Mi vida pasó por delante de mis ojos en unos pocos segundos y fui capaz de recordar cada una de las veces que había tocado ese portátil, que a partir de ese momento se me antojó más cool que un i-jam y más potente que un servidor de 64 procesadores, en los últimos 3 días...¿Dónde estaba mi vida? Mis datos, mis mails, mis presentaciones, ¡¡¡MI BASE DE DATOS DE COMICS!!!! ¡Dios!... ¡EN EL CONTROL DE POLÍCIA DEL AEROPUERTO!.

Como os podéis imaginar, presa del terror, atenazado por el PÁNICO, perdiendo años de vida cada segundo que ese portátil no estaba en mis manos me cargué todos mis "archiperres" en menos que pía Pitíkli y salí corriendo.

El aeropuerto pudo disfrutar en aquel momento de lo que es ver a un hombre sin afeitar y con melenas demostrando que el record mundial de los 100 metros lisos será para aquel que tenga más motivación de correr, y que, en caso de haber estado allí un juez de esos de los de la cerveza, quiero decir, de los Guiness, hoy por hoy tendría plaza para los juegos olímpicos de Londres.

Para más complejidad había tráfico, pero las personas que me vieron venir, con los ojos inyectados en sangre, los dientes apretados y la piel del color de un enfermo terminal de difteria supieron valorar la situación y saltaron a la cuneta apartandose de mi camino.

El suelo estaba resbalazido, pero en aquellos momentos mis pies se movian a tal velocidad que si me hubieran puesto un mar por medio habría pasado por encima de él cuál profeta que flota en el agua.

Al llegar al pasillo que da acceso al puesto de control tuve que tomar la curva de contrameta. Reduje a quinta y ataqué bien los pianos para traccionar con fuerza a la salida de la misma. Debido a regulaciones de última hora me había sido suprimdio el control de tracción automático, así que, levantando el peso equivalente a 30 comics en una de las bolsas conseguí equilibrar la dirección para meter sexta y llevar en 0.7 segundos en frente del control y decir, con toda la tranquilidad del mundo:

"mehedejadounportitilenelcontrolhacemenosdequinceminutosporfavordiganmedondeesta"

El polícia, mirando el cuadro que se había plantado en frente de él, sudando, gritando, blanco y con cara de asesino, se recostó en la silla y me hizo una pregunta doble con intención de pillarme:

"¿De qué marca y de que Color es?"

A lo que yo respondí como si hubiera un pulsador cual concurso de la tele y otro pudiera meterse de por medio en mi turno de respuesta:

"esundellplateadoylefaltadospatadegomapordebajoysimedicequelotieneledoydosnuevossiustedmedaesemio"

El tipo me miró, miró a su compañero, sonrió y metió la mano debajo de la mesa. De allí salió, por arte de magia, el Paraiso, el sol, las mieles del triunfo, el Valhala, el Monte Olimpo y el plató de una película porno grabando la más maravillosa de las orgías donde mujeres desnudas te traían dispositivos usb para disfrutar al máximo con los gadgets.

Le besé, le abracé, le acaricié, le limpié la pantalla con amor, prometí no teclear fuerte sobre sus teclas y arreglar tecla que un día le rompí y la llevo pegada con celo. Supe lo que es tener una segunda oportunidad en la vida que no voy a desperdiciar.

Al llegar a casa le mimé, le puse el bitlocker, cifré los datos importantes con EFS y me hice 2 backups que guardé en ubicaciones distintas.

No se si alguna habéis sentido lo que es la pasión y el amor por tus datos, pero yo sí lo sentí en esa carrera por la supervivencia.

Y ¿por qué os cuento esto? La verdad es que había desestimado narrar este drama en mi vida, pero hoy he visto una noticia en la que un proveedor de servicios de Internete le ha borrado, sin posibilidad de recuperación ninguna, a 14.000 personas, por un errorcillo de cálculo, el buzón de correo con todo su contenido y para compensarles les da 50 $ a sus clientes.

Cable Co. empties 14,000 e-mail accounts

Tal vez sean buzones de usuarios de casa, tal vez hubiera hosting de empresas o tal vez no, pero si a mi borras mi buzón y me das 50 $... ¡Mueres!

Saludos malignos!