El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 4 de 4)

Y llegamos a la última parte de esta serie dedicada a mi querido, caótico, y necesario sistema de correo electrónico, pero que a la vez forzamos para cubrir necesidades que no siempre puede cubrir. Como hemos visto hasta aquí, tiene muchas carencias que yo he querido resolver en esta pequeña lista que os dejo a continuación.

Figura 17: El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 4 de 4)

Como principales problemas con el correo electrónico, estos son algunos de los temas a los que nos tenemos que enfrentar, y aceptar, cuando lo utilizamos. Yo los he resumido en 10 puntos que recogen, más o menos, todo lo explicado en las tres partes anteriores.

1.- Identidad del remitente: Mientras no se utilice PGP o S/MIME, la identidad del remitente de una comunicación es siempre algo muy dudoso. Por eso existen los ataques de Phishing, aunque tengamos tecnologías de mitigación como Reverse MX Lookup, SPF, Sender ID y DMARC.

2.-  Privacidad: Las comunicaciones no siempre van cifradas extremo a extremo. El sistema de correo electrónico enruta los mensajes entre servidores que están en medio del camino entre el servidor de correo saliente y el servidor de correo entrante, y mientras el usuario no cifre sus mensajes con PGP o S/MIME, los mensajes pueden pasar por tramos sin cifrar, aunque se use SMTP-S, POP3-S, HTTPs o Mutual-TLS en algunos tramos.

3.- SPAM: La posibilidad de que cualquiera pueda enviarte publicidad masivamente a tu dirección de correo electrónico es algo muy barato como para desdeñar su uso. Hemos puesto regulaciones como LSSI, LOPD o GDPR, pero muchas empresas no están sujetas a ellas o directamente las ignoran. Por supuesto, los Filtros Bayesianos, los sistemas de reporte de SPAM con interacción de usuario, las técnicas de Machine Learning y las DNSBL o RBLs (RealTime BlackHole Lists) mitigan el impacto, pero ni mucho menos acaban con él.

4.- Seguridad: Al igual que con la publicidad, las campañas de Fraude (ventas falsas, estafas "scams" etc..), de ransomware personal o empresarial, de exploits e instalación de R.A.T.s (Remote Administration Tools) para meter los equipos clientes en botnets, etc... hacen que el correo electrónico sea el canal preferido por todos.

5.- Confiabilidad: Debido a que tenemos que aplicar filtros anti-Spam, Anti-Phishing, y Anti-malware que no son perfectos ni mucho menos, tenemos una pérdida de correos legítimos de muchas personas, que pueden ser una oportunidad de negocio, una comunicación esperada o un mensaje necesario para una gestión, lo que hace que muchos acabemos llamando por teléfono a las personas a las que enviamos mensajes importantes para garantizar que el mensaje ha llegado.

6.- Productividad: Algunas personas dedican hasta cinco (5) horas al día de su tiempo a procesar el correo electrónico, lo que hace que su productividad no se esté viendo siempre mejorada por el uso de un sistema de comunicación como el e-mail. Esto se debe a que el coste de enviar un correo electrónico es prácticamente cero, muchas personas no hacen un uso responsables de las comunicaciones y tienen en cuenta el tiempo que debe invertir el (o los) receptor(es) en su lectura y contestación.  A la gente le sale barato robar tiempo de la vida profesional o personal por medio de un mensaje de e-mail.

7.- Trabajo extra: Si el miedo a perder mensajes hace que configuremos umbrales a los filtros muy pequeños, o que nos repasemos la carpeta de mensajes de Correo No Deseado cada día, los usuarios comenzarán a hacer tareas extras de borrado y clasificación de mensajes buenos o malos, revisando entre correos de spam, malware, estafas, etcétera, aquellos que son realmente útiles para el receptor.

8.- Identidad Personal: Como os he dicho antes, el uso de la dirección de e-mail como identidad en los servicios de Internet, ha hecho que compartir tu dirección de correo electrónico se convierta en una forma de desvelar todos aquellos sitios en los que tienes 

9.- Disponibiliad: Debido a todo lo anterior, las personas suelen optar por dos alternativas. O no compartir fácilmente su dirección de correo o compartir una dirección de e-mail que deja claro que no es la suya personal. En el primer caso, se produce un efecto de indisponibilidad, ya que el que realmente quiere contactar contigo por algo útil ve dificultada su tarea, generando una pérdida de mensajes que podían ser relevantes para las personas. Un efecto contrario al origen de la comunicación.

10.- Impresonalidad: En la segunda opción del punto anterior, las personas tienen a poner un buzón impersonal como forma de contacto, lo que rechaza la comunicación. No se sabe quién está detrás de ese buzón, así que genera un rechazo en las personas ya que nos imaginamos a un conjunto de personas procesando esos mensajes. Es decir, perdemos de nuevo comunicaciones.

¿Y qué hemos hecho en nuestra vida personal?

Pues nos hemos tirado a otros tipos de comunicación. En la comunicación personal nos hemos movido hacia las Redes Sociales, que son, en contrapartida con el correo electrónico, unos de los sistemas menos interoperables del mundo. Así, tenemos cuentas en Facebook, Twitter, Linkedin, Telegram, WhatsApp, Instagram, iMessage, Twitch, etcétera. En todos estos sistemas hay sistemas de comunicación en forma de chats, comentarios o mensajes privados como e-mails. Pero de nuevo se produce un problema de productividad brutal.

Figura 18: David Guapo sobre el uso de WhatsApp

Dar tu WhatsApp implica dar tu número de teléfono a personas que pueden llamarte, buscar tus identidades en la red o hacer un uso intenso de mensajería. Yo no tengo tarjeta de visita, no doy mi correo electrónico personal y mi número de teléfono lo guardo como si fuera mi tesoro. Y WhatsApp, Telegram, o iMessage están restringidos hasta más no poder. Porque además dicen cuándo estás online. Por supuesto, si lo doy poco, utilizar WhatsApp, Telegram o Instagram como alternativa al e-mail contactos con terceros a través de Internet, es algo que no me planteo.

En cuanto a las redes sociales, sucede un poco lo mismo, abiertas a todo el mundo con mucho tiempo para que pueda pedir cualquier cosa de manera gratuita. Supongo que todos os habréis topado con mensajes no solicitados de gente que no sabéis quién son que piden cosas que os llevan tiempo. En mi caso, los mensajes de hackear a la pareja son un clásico, y por supuesto, dejé de contestar por redes sociales.

View this post on Instagram

Como diría Bon Jovi ...”it’s my life”... solo cuatro de los últimos más de 200. ¿Por que no me escribirá la gente para invitarme a cenar en vez de estas cosas?

A post shared by Chema Alonso (@chemaalonso) on Sep 3, 2019 at 10:30pm PDT

Una en particular es muy curiosa, Linkedin, que deja que cualquiera que quiera enviarte un mensaje pueda hacerlo. No es necesario que sea tu contacto, basta con que les pague a ellos por poder enviarte un mensaje. Es decir, ellos comercializan tu contacto y venden tu tiempo, pero eres tú el que tengo que contestar, y hoy en día se ha convertido en una canal muy usado para ventas. 

¿Y en la vida profesional?

Muchas empresas aún sufren en productividad por el uso intenso del e-mail. Yo me enfado cuando me envían correos kilométricos o con muchas personas en copia. De hecho, suelo hacer caso omiso de un mensaje que me tiene en copia con muchas personas. Lo siento, tengo muchos mensajes que leer que van dirigidos solo a mí. Y por supuesto, los hilos infinitos de veinte mensajes deberían ser causa de despido inmediato. 

Es la peor de las productividades. Si una persona hace eso en lugar de llamar por teléfono o arreglar la solución en una reunión personal, es que esa persona sobra en el equipo. Y si la empresa lo consiente, es que hay un problema de gestión serio.

Por eso se han intentado muchas cosas, y algunas ha fructificado. En Google, que tenían Gmail se dieron cuenta de esto internamente, y decidieron apostar por Google Wave, un nuevo sistema de comunicación para grupos que cambiaba el mensaje de e-mail tradicional por algo diferente, pero no triunfó y en el año 2012 se cerró el proyecto.

Figura 20: Imagen del proyecto Google Wave

Microsoft apostó por una cosa similar en SharePoint, del que yo mismo participé en un libro de Seguridad en SharePoint 2010 junto con mi hermano Rubén Alonso y otros compañeros para ver temas de auditoría de seguridad en la plataforma y del que apenas quedan una decena de unidades antes de desaparecer para siempre. Y a base de integrarlo con Microsoft Office y el resto de tecnologías en la empresa ha ido consiguiendo perdurar, aunque no es precisamente el más querido por muchos grupos de usuarios empresariales que necesitan otras formas de comunicación.

Figura 21: Libro de Microsoft SharePoint 2010: Seguridad

Sistemas como Skype o Google Hangout - y los canales IRC en grupos de seguridad - se convirtieron en buenas alternativas en la empresa para las comunicaciones, pero al final han sido Slack y Microsoft Teams los que han dado el salto para tener sistemas de comunicación en grupos de trabajo similares a los que Google Wave proyectaba. Es decir, un lugar donde se centralicen los documentos, se puedan editar, se permitan reuniones en real-time o mensajes en diferido.

Con todas estas alternativas, las personas se han ido buscando formas diferentes de suplir al correo electrónico y evitar todos los problemas anteriores. Hoy en día, mi equipo personal y compañeros me mandan un WhatsApp que contestaré cuando pueda, pero seguro que mucho antes que un e-mail, y los desarrolladores y equipos de producto usan Slack o Microsoft Teams antes que enviar infinitas listas de mensajes de e-mail.

Por supuesto, también quedan cosas que solucionar, como lo que sería publicar un e-mail de contacto al exterior que no sufriera los diez puntos anteriores, pero en eso también estamos trabajando, porque está claro que ni las redes sociales ni las soluciones empresariales que he citado, ni el e-mail tradicional arreglan todos esos problemas.

Resurección

Los seres humanos necesitamos comunicarnos. Para socializar. Para trabajar. Para demostrar que estamos enfadados. Para decirle a esa chica que te gusta mucho. Para educar a nuestros hijos. Y en todos estos momentos el e-mail ha sido una pieza fundamental en las últimas décadas de nuestra existencia.

Como hicimos en el pasado cuando pasamos del copiar ficheros de texto de una carpeta a otra para dar el salto a SMTP y POP3, tendremos que aceptar los nuevos cambios. La disrupción está llegando a esa dirección de e-mail y tendremos que pensar en cuáles serán las funciones de ese tunombre@tuhost.com que tanto hemos utilizado en los últimos años. Tal vez sea solo para compañeros y amigos y totalmente privado. Tal vez solo sea para la gestión de la identidad.

O tal vez sea un concentrador de comunicaciones privado que debemos proteger y que interactuará con los sistemas empresariales tipo Slack o Microsoft Teams, y las redes sociales personales sin nunca ser revelado. Un concentrador que no deba ser expuesto en la red nuca para evitar todos los problemas que he citado en los puntos anteriores.

Lo que sí que tengo claro es que hemos extenuado el modelo con tantos parches, y las nuevas tecnologías están robándole cuota de uso práctico, mientras que seguimos teniendo una carga en su gestión y un foco de riesgos de seguridad y privacidad personal y empresarial.

Eso sí, contar nuestra historia como seres humanos sin hablar del e-mail sería injusto. Sería inexplicable Internet sin uno de sus servicios mágicos, míticos y más poderosos que hemos tenido la suerte de utilizar. Así que, ¡Larga vida al e-mail! Aunque tengamos que acotar o re-definir sus usos.

Saludos Malignos!

Autor: Chema Alonso Contactar con Chema Alonso

********************************************************************************************************
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 1 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 2 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 3 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 4 de 4)
********************************************************************************************************

Vídeo Tutoriales de MetaShield Protector (Español e Inglés)

Uno de los productos que hemos evolucionado en Eleven Paths ha sido la familia MetaShield Protector. Inicialmente era una solución sólo para limpiar metadatos en documentos publicados en servidores web de Microsoft Internet Information Services (IIS), pero ahora es una familia con 5 productos distintos: MetaShield for IIS, MetaShield for SharePoint, MetaShield for File Servers, MetaShield Forensics - la antigua Forensic Foca evolucionada - y MetaShield for Client.

Para que podáis conocer en un espacio corto de tiempo cómo funcionan los diferentes productos, hemos creado estos vídeo-tutoriales de solo unos minutos de duración. Están narrados en Español y subtitulados en Inglés.

MetaShield for IIS

Este fue el primer producto de la familia, consiguió ya el premio de Red Seguridad al producto de seguridad más innovador en el año 2009, y sirve para, entre otras muchas cosas, aplicar el Esquema Nacional de Seguridad. Su función es evitar las fugas de datos a través de documentos ofimáticos publicados en la web, que hemos visto que afectan incluso a las empresas centradas en productos DLP (Data Loss Prevention) y las del IBEX 35.


Figura 1: MetaShield Protector for IIS

MetaShield for SharePoint

Al igual que el producto anterior, este funciona sobre servicios SharePoint (Windows SharePoint Services, Microsoft SharePoint 2010 y Microsoft SharePoint 2013. Este vídeo explica su funcionamiento.

  Figura 2: MetaShield Protector for SharePoint
MetaShield for FileServers

Esta es una versión nueva, centrada en monitorizar carpetas en servidores de ficheros. Cada vez que un archivo es creado en una de las carpetas monitorizadas, MetaShield for File Servers eliminará todos los metadatos que tenga el archivo y establecerá unos valores personalizados por una plantilla.


Figura 3: MetaShield Protector for FileServers
MetaShield for Clients

Esta es la versión para los equipos Microsoft Windows de escritorio. Basta con hacer clic con el botón derecho sobre el archivo y se accederá a las opciones de borrar metadatos de todos los documentos. Si tienes una estrategia de seguridad en el endpoint con antimalware, además de seguir la recomendación de evitar que se usen las herramientas de esteganografía, es perfecto añadir el despliegue de esta solución en los puestos de trabajo.


Figura 4: MetaShield Protector for Client
MetaShield Forensic

Esta es la antigua Forensic Foca evolucionada. En aquellos casos en los que es fundamental hacer un estudio forense de lo que ha pasado en un equipo, el análisis de los metadatos es clave. En el artículo de Análisis Forense de Metadatos: Ejemplos ejemplares, hay una lista de casos en los que han generado mucha información.


Figura 5: MetaShield Forensics
Si quieres más información de alguno de estos productos, puedes ponerte en contacto con Eleven Paths, y ya sabes que FOCA hace un análisis completo de los metadatos de un sitio web para hacer un buen pentesting y que aún está disponible la versión online de FOCA donde puedes analizar los documentos de un solo archivo.

Saludos Malignos!

Vídeo-Tutorial de MetaShield Protector en Español e Inglés

Igual que con la Forensic FOCA, Jesús Moreno "Chen", nos ha hecho un vídeo - de 7 minutos en este caso - de cómo funciona MetaShield Protector, la solución que se instala como un plug-in para Internet Information Services 7 e Internet Information Services 7.5 para limpiar de metadatos todos los documentos publicados en un sitio web antes de que estos documentos sean enviados a los clientes.

La herramienta funciona con SharePoint Server 2007 y SharePoint Server 2010, y con los documentos Microsoft Office binarios, Microsoft Office OOXML, ODF y PDF. Esta solución es perfecta para cumplir con los apartados relativos a metadatos del Esquema Nacional de Seguridad, y fue premiada en el año 2009 como el Producto más innovador en seguridad los premios Red Seguridad. Si quieres conocer más de ella, publiqué un artículo en más detalle de él en PC World: MetaShield Protector.

Saludos Malignos!

Libro PowerShell: La navaja suiza de los administradores

Ya tenemos listo y a la venta el nuevo libro de la colección de libros de Informática 64, en esta ocasión dedicado a Microsoft PowerShell, algo que nos ha ayudado mucho en nuestro trabajo, y que hemos decidido plasmar en un libro. Los autores son Pablo González y Rubén Alonso, consultores de sistemas y seguridad, que han cubierto los principales aspectos del uso de Microsoft PowerShell para administrar Windows, Active Directory, SQL Server, SharePoint Server, etcétera.

Este es el libro número 15 de la colección, que queda compuesta por los siguientes títulos, aunque ya estamos trabajando en tres nuevos que saldrán pronto:

- Libro 15: PowerShell, La navaja suiza de los administradores 

- Libro 14: Desarrollo de Aplicaciones iOS para iPhone & iPad: Essentials
- Libro 13: Ataques en redes de datos IPv4 e IPv6
- Libro 12: Hacking de Aplicación Web: SQL Injection
- Libro 11: Aplicación del Esquema Nacional de Seguridad con Microsoft
- Libro 10: Seguridad y Hacking de comunicaciones Móviles: GSM/GPRS/UMTS
- Libro 9: Máxima Seguridad en Windows: Secretos Técnicos
- Libro 8: Fraude Online: Abierto 24 x 7
- Libro 7: Hacking con Buscadores: Google, Bing y Shodan
- Libro 6: Una al Día, 12 años de Seguridad
- Libro 5: DNI-e: Tecnología y usos
- Libro 4: MS SharePoint 2010: Auditoría y Seguridad
- Libro 3: MS Forefront TMG 2010
- Libro 2: Aplicación de medidas técnicas y organizativas para aplicar la LOPD
- Libro 1: Análisis Forense en Sistemas Windows

Os recordamos que en Colombia los puedes pedir directamente a través de IT Forensics LTDA, para que os salgan más baratos los gastos de envío.

UPDATE: La semana que viene hay un Virtual Hands On Lab a través de Internet sobre PowerShell, dentro de la semana de VHOLs dedicada a Windows Server.

Saludos Malignos!

Auditar la seguridad de SharePoint

Hoy que tenía un poco de tiempo, y mi maligno hermano me había pedido que revisara la seguridad de un SharePoint 2010 para una auditoría de seguridad, he estado revisando el informe de seguridad que fue presentado en la Hackcon 2011 y emitido por la consultora de servicios de seguridad Stach & Liu para la ISSA (Information System Security Associations), donde se recogen las principales preocupaciones respecto de la seguridad en tecnologías SharePoint, que os paso a describir:

1º- Conocer la superficie de exposición de SharePoint

Este punto es crucial. Saber que tienes un servidor de SharePoint de cara al exterior sin ser consciente de cuales son los puntos de exposición del mismo y así poder forticarlos es algo prioritario. Las principales amenazas en este apartado vienen principalmente por las búsquedas Google Hacking preguntando por rutas y páginas administrativas del portal - como por ejemplo: inurl:”/_catalogs/wt/” -, aunque lo más recomendable es utilizar herramientas automatizadas.

Dentro de estas herramientas hay que destacar la utilidad gratuíta Search Diggity, ofrecida por la citada consultora, que implementa lo que ha dado en denominar SharePoint Google Regext 109 Querys, o lo que es lo mismo 109 expresiones regulares a consultar en tecnologías SharePoint por rutas y archivos administrativos porporcionados por un diccionario de datos especialmente creado para SharePoint (SharePoint Google Dictionary), que  se carga desde el menú File=>Import Query Definition.

Figura 1: Search Diggity con módulo de SharePoint Google Hacks

2º- Ataques de fuerza bruta a URL’s de SharePoint

Consistente en la comprobación por fuerza bruta de los principales puntos de autenticación de SharePoint en busca de acceso. Stach & Liu proporciona otra herramienta para tal fin, denominada SharePointURLBrute, desarrollada en Perl, con un modulo ejecutable para Windows. Esta herramienta utiliza 89 extensiones conocidas para probar los ataques de fuerza bruta, a través del archivo proporcionado por la herramienta como diccionario de entrada (SharePoint-UrlExtensions-18Mar2012).

Figura 2: Ejecución de SharePointURLBrute sobre sitio de SharePoint 2010

3º- Escaner de vulnerabilidades para aplicaciones administrativas

En este apartado, se puede utilizar escáneres de vulnerabilidades y puertos tipo nmap para la búsqueda de cualquier aplicación administrativa que funcione sobre SharePoint, tales como la Consola de Administración Central de SharePoint, Proveedores de Servicios Compartidos (2007), etc...

Esto es algo que Juan Garrido y Chema Alonso ya explicaban muy bien en la parte de auditoría y pentesting de SharePoint en el libro que escribimos los tres dedicado a SharePoint 2010: Seguridad.

4º- Control de Prevención de fuga de información (Data Loss Prevention)

Aquí se hace crucial controlar la fuga de información sensible de nuestros servidores web SharePoint, con herramientas como MetaShield Protector. Ademas, recurriendo a técnicas de Google Hacking mencionadas anteriormente, podemos encontrar información de cuentas de usuario, correos, puestos de trabajo.

Hay que tener especial cuidado sobre todo en aquellas implantaciones de SharePoint que tengan muy socializada la red con la aplicación de servicio de perfiles de usuario en funcionamiento, ya que se pueden realizar búsquedas a la pagina /_layouts/UserDisp.aspx (inurl:”/_layouts/userdisp.aspx”), para identificar información de los citados perfiles.

Figura 3: Localización de perfil de usuario de cara al exterior

5º-Usuarios con privilegios de acceso excesivos

Este es uno de los mayores retos de los administradores de SharePoint. Grupos de usuario de SharePoint existentes, niveles de permisos y usuarios/grupos/listas de distribución de Windows conviviendo en una laberíntica implementación de sitios y subsitios con una jerarquía de seguridad heredada (¿o no?), hacen que se pierda control sobre los privilegios de acceso de los usuarios de una organización y más dificil de controlar la seguridad a establecer.

Estos privilegios de acceso pueden estar establecidos sin control alguno sobre determinados servicios web disponibles en SharePoint, tales como Admin.asmx o Permissions.asmx. Búsquedas mediante Google Hacking a ubicaciones “/vti_bin/” y “/vti_adm/” facilitan la localización de sitios de SharePoint con servicios web publicados de cara al exterior y posibilitan un posible acceso de usuarios con privilegios de acceso excesivos.

Figura 4: Informes de seguridad generados por Sushi

En este apartado, podéis utilizar aplicación gratuita llamada Sushi disponible en Codeplex, que, entre otras cosas, nos va a permitir realizar informes de seguridad para identificar en todos los sitios y listas usuarios con acceso y con qué tipo de acceso.

6º- Soluciones desarrolladas por 3ªs personas

Otro riesgo importante para la seguridad, en cuanto a estabilidad y disponibilidad se refiere es la cantidad de soluciones de desarrollo que admiten las tecnologías SharePoint, y que pueden provocar, si no estan programadas correctamente, la inestabilidad en el servidor. Características (features.xml), soluciones personalizadas (*.wsp), elementos web (*.dwp), flujos de trabajo, etcétera, son algunas de los componentes de desarrollo que se pueden incluir en SharePoint y que afectarán en mayor o menor medida al servidor.

El implementar a la ligera cualquier tipo de desarrollo externo, luego puede traducirse en características o webparts perdidas a la hora de migrar - al no haber compatibilidad de versiones, como pasó con las famosas 40 plantillas de aplicación en su momento -, como puede ser en migraciones de base de datos adjunta.

SharePoint 2010 ha avanzado algo en este sentido, al incluir el desarrollo de soluciones Sandbox, las cuales permiten la ejecución de forma segura de componentes de desarrollo sin penalizar un cierto despliegue de SharePoint en el caso de que no se hayan seguido las buenas prácticas a la hora de desarrollar dichos componentes, minimizando así el riesgo de plugins de terceros.

Figura 5: Despliegue de soluciones sandboxed

7º- Múltiples formas de realizar copias de seguridad

La conclusión del informe de la consultora Stach & Liu acaba indicando lo terrible que puede llegar a ser realizar copia de seguridad sobre entornos SharePoint, al disponer de multiples formas y métodos y a diferente nivel para la realización del mismo, listando algunas de las formas disponibles que son:

- Desde Windows Server 2003/2008/R2
- Utilidad Stsadm con comandos de Backup
- Copias de seguridad desde SharePoint Central Administration
- Copias de seguridad desde SharePoint Designer
- Copias de seguridad de plantillas de sitio y listas
- Copias de seguridad de bases de datos de SQL Server

Yo personalmente no veo esto un problema si conoces el funcionamiento de cada una de las herramientas disponibles, no siendo excluyentes la utilización de varias a conveniencia, como sería lógico, pero para eso se requiere un conocimiento profundo de qué contiene cada elemento, ya sea una base de datos o una plantilla de sitio.

Un saludo a todos.

Autor: Rubén Alonso
Blog: Punto Compartido
Autor del libro SharePoint 2010: Seguridad

Calendario Septiembre 2011

Se acaba el mes de Agosto, y para los que vivimos en España eso significa el fin de las vacaciones para muchos. Incluido para mí, que pude tomarme unos días de asueto escondido del mundanal ruido de mi Madrid, para recargar un poco las pilas. Ahora toca la vuelta al cole. Y como podéis ver, no se ha parado de trabajar durante el verano para que haya muchas cosas listas en Septiembre. Aquí va un bonito calendario.

Móstoles: Módulo de Auditoría Web en el FTSAI

Para nosotros, el mes de Septiembre comenzará rápido, ya que el mismo día 2 tendrá lugar el inicio del módulo de Auditoría Web del FTSAI. Éste es uno de nuestros preferidos, ya que como sabéis es de lo que más nos gusta hacer en Informática64 y en el que volcamos mucha de nuestra experiencia real. Si quieres ver cómo hacemos los test de intrusión a aplicaciones web, puedes apuntarte a este módulo.

Getafe: Cursos de Seguridad Antihacking en Windows

Para desempleados y personal en busca de mejora de empleo se van a dar dos cursos gratuitos de 100 horas cada uno sobre Seguridad Antihacking en Windows, en el Centro de Getafe de Nuevas Tecnologías. Estos cursos necesitan previamente hacer una prueba de acceso. La prueba será el día 7 de Septiembre a las 10:00 y a las 16:00 (puedes ir a cualquiera). Los cursos comenzarán el día 12 de Septiembre en horario de 09:00 a 14:00 en el turno de mañana y de 16:00 a 21:00 en el horario de tarde.

Barcelona: NoCONname 2011

Después, con la llegada del día 15, Juan Garrido "Silverhack", ya repuesto de la experiencia americana de la Defcon, impartirá el curso de Análisis Forense de Dispositivos móviles de la NoConName. Además, se quedará el día 16 para que repitamos la charla de "Bosses Love Excel, Hackers Too" que dimos en el Hotel Rio de Las Vegas, pero que hemos rebautizado con el título de "Terminal Hackpplications",que nos hace mucha más gracia. Además, en la NoCONname hay más trainings y una agenda de ponentes interesante. Si quieres asistir y aún no tienes la entrada, en la entrevista de Nico Castellano tienes un código de descuento al final.

Camino a La Nube: Pamplona, Logroño, Burgos, León y Santiago de Compostela

La verdad es que esta es una de las giras más curiosas de tecnología que he visto nunca. Los evangelistas técnicos de Spectra Ibérica se va a calzar el Camino de Santiago en bicicleta desde Romcesvalles, dando 5 eventos en el camino. Para ello, con todo el esfuerzo, el primo Fernando "mona"Guillot y "El golfo" Paolo Dias se van a parar en Pamplona el día 12 de Septiembre, en Logroño el día 14, a Burgos llegarán el día 16, el día 20 en León y el día 27 en Santiago de Compostela. Como la iniciativa es de lo más curiosa, se han abierto una web para contar sus aventuras durante el camino, para admitir compañeros de etapa y narrarlo todo por twitter. Así que, si quieres asistir o apuntarte a una etapa o la gira entera, no dudes en ponerte en contacto con ellos: Estoy en la nube. Yo, si puedo, me apuntaré a un evento, por lo menos a hacer acto de presencia por allí y asistirles con alguna charlita.

Madrid: Hands On Lab de SharePoint 2010

Del 19 al 23 de Septiembre, el ínclito Rubén Alonso, MVP en SharePoint 2010, y escritor del libro "SharePoint 2010:Seguridad", va a dar una semana de Hands On Lab sobre SharePoint 2010, tocando los principales temas. Todos los asistentes recibirán de regalo su libro, sus conocimientos, y su amor. Puedes seguirle en su blog Punto Compartido.

Buenos Aires: EKOParty 2011

Del 19 al 23 de Septiembre tendrá lugar en Buenos Aires la Ekoparty 2011, una semana llena de trainings y conferencias que no debes perderte. En esta edición ya están publicados todos los trainings... ¿Todos? No, falta el mío, que daré el día 20 sobre la FOCA 3 y que se pondrá esta semana a la venta. Además, estaré también dando una charla en las conferencias. Quiero dar las gracias a todos los que me habéis preguntado si iba a ir a la Ekoparty, y siento no haber contestado antes, pero es que no lo tenía claro hasta hace un par de días. Así que, ya admito invitaciones a asados, copas, fiestas, reuniones, encargos, y demases (y por demases ya sabéis a qué me refiero).

Virtual Hands On Lab: Windows Server

Y para terminar el mes, los días 27, 28 y 29 de Septiembre tendrán lugar 4 Virtual Hols dedicados a Windows Technologies que se darán a través de Internet mediante el sistema de Virtual Hands On Lab. Para que te apuntes desde cualquier rincón del mundo en el que estés.

Y esto es todo, y que como veis no es poco, así que déjate ya de veranear, de fiestas, y ponte las pilas, que hay mucho que hacer este mes.

Saludos Malignos!

Noviembre 2010

Antes de que acabe el mes de Octubre, todavía quedan pediente mis charlas en México y la realización el jueves de ForoSI online de Segu-Info. Sin embargo, ya toca ir pensando en el calendario de actividades de Noviembre, así que aquí os pongo las cosas que tenemos por delante.

Semana 1

03 - Madrid: C.E.U.S. VI [G]
03 - Madrid: Análisis Forense: Windows Logs
03 - UEM: Jornadas de Ciberamenazas y ciberdefensa [G]
04 - Madrid: Quest Tecno-Heroes [G] Con visita al Bernabeu
04 - UEM: Jornadas de Ciberamenazas y ciberdefensa [*] [G]
04 - Madrid: Análisis Forense: Prepara tu empresa

Semana 2

10 - Online: Análisis Forense correo electrónico Exchange
10 - Madrid: Análisis Forense: Malware
10-11 - Online: Exchange Server 2010 Service Pack 1
10-11 - Madrid: Análisis Forense: Red
11 - Online: Hardening Exchange Server 2010
12 - Madrid: Análisis Forense: Memoria RAM

Semana 3

15 - Madrid: Seguridad de los menores en las redes sociales [G]
15 - Madrid: Sharepoint 2010: Arquitectura e implementación
15-16 - Madrid: Sharepoint 2010: Servicios de Búsqueda e indexación
16 - Madrid: Sharepoint 2010: Hardening
16 - Online: Learning FOCA & Get FOCA PRO 2.5.5 (Español) [*]
17 - Madrid: Sharepoint 2010: Colaboración
17 - Madrid: Identidad en el correo electrónico [G] [*]
17-18 - Madrid: Sharepoint 2010: Business Intelligence
18 - Madrid: Sharepoint 2010: Content Management
18 - Pamplona: Ciberseguridad [*]
19 - Madrid: Sharepoint 2010: Workflow y procesos de negocio
19 - Móstoles: FTSAI 6: Web Security [*]

Semana 4

22 - Madrid: D-Link Academy: DL01 - Networking
22 - Madrid: D-Link Academy: DL05 - Videovigilancia IP
23 - Online: Enterprise Security con Forefront Technologies
23 - Madrid: D-Link Academy: DL04 - Tecnología WiFi
23-24 - Online: Forefront Endpoint Protection 2010 (beta)
24 - Online: Forefront Protection 2010 for Exchange
24 - Madrid: D-Link Academy: DL03 - Tecnología Switching
25 - Online: Forefront Protection 2010 for SharePoint
25 - Online: Learning FOCA & Get FOCA PRO 2.5.5 (inglés) [*]
25-26 - Madrid: D-Link Academy: DL02 - Tecnología Firewalling

Semana 5

29 - Madrid: Windows Server 2008 R2: Implementing
29 - Madrid: Windows Server 2008 R2: Network Services
29-30 - Praga CoNfiDence 2.0 [*]
30 - Madrid: Windows Server 2008 R2: Active Directory
30 - Madrid: DISI 2010 [G]

Os he puesto [*] en las que voy a estar yo y [G] en las que son gratuitas.

Saludos Malignos!

Libro SharePoint 2010: Seguridad

Llevamos trabajando desde el mes de Julio media docena de personas en la organización, escritura, montaje de entornos, revisión, maquetación y acabado del libro, pero ya está acabado. Desde esta tarde es posible comprar ya el libro de Microsoft SharePoint 2010: Seguridad.

El escritor del libro es Rubén Alonso, MVP de SharePoint Technologies, escritor del blog Punto Compartido y sufridor hermano pequeño del Maligno. La parte de Fortificación y Pentesting ha recaido en las manos del gran Silverhack y en las mías, que hemos enredado con el producto para dejarlo lo más fortificado posible y para detectar cuando uno que está en producción tiene configuraciones débiles. Por último, la parte de publicación segura de cara a Internet y la protección antimalware ha recaido en las manos del ya veterano en estas lides, Juan Luis G. Rambla, autor ya de los libros de Forefront TMG 2010 y Aplicación de la LOPD en la empresa. El diseño de la portada ha corrido a cargo del gran Rodol y hay que agradecer las labores de Manuel Sánchez Chumillas en la lectura y revisión de partes del texto y de Antonio Díaz en la maquetación del mismo.


El libro mantiene la estructura de las publicaciones de Informática 64, tiene 256 páginas y cuesta 20 € más gastos de envío. El contenido de los apartados está dividido en los siguientes capítulos:

- Capítulo I: Fortificación de Arquitecturas SharePoint
- Capítulo II: Modelo de Seguridad en SharePoint
- Capítulo III: Copia de Seguridad y Restauración
- Capítulo IV: Gestión de Auditorías
- Capítulo V: Protección contra fugas de información en metadatos
- Capítulo VI: Protección antimalware con Forefront Protection 2010 for SharePoint
- Capítulo VII: Publicación perimetral segura
- Capítulo VIII: Pentest en servidores SharePoint

El índice completo de todos y cada uno de los capítulos está disponible en la URL de compra: Libro de SharePoint 2010: Seguridad.

Esperamos sinceramente que, si compras el libro, se transmita el mimo que le hemos puesto para cubrir los principales aspectos de seguridad en las arquitecturas SharePoint tanto si lo tienes en producción, lo tienes que montar como si lo tienes que atacar.

Saludos Malingos!

PD: En las últimas páginas del libro encontraréis la lista de los próximos libros en publicación, que irán saliendo muy prontito. }:D

Fingerprinting SharePoint

Se anunció ya le semana pasada que, desde Informática64, estabamos trabajando en un libro de Seguridad en SharePoint que saldrá publicado este septiembre. La parte de Pentesting, Fortificación y Publicación Segura nos ha tocado a Silverhack, Juan Luís G. Rambla y a mí, y hemos estado jugando bastante con ello.

Una de las discusiones que hemos tenido ha sido como descubrir un SharePoint desde fuera, que a priori puede no parecerlo, como sucede con la página de Ferrrai que tiene una estética que para nada recuerda a SharePoint.

Sin embargo, tiene características que le delatan, como el uso de directorios _layouts, que vaya en aspx y, por supuesto, que en el código fuente se identifique que el contenedor en los metadatos indique que está hecho con SharePoint.


Figura 1: Código fuente de Ferrari.it
Para descubirlos con Google Hacking se pueden crear diferentes dorks para encontrarlos, conociendo la estructura de ficheros que tienen y las páginas que siempre quedan.

Shodan

Para descubir los SharPoint publicados de una organización, se nos ocurrió que podíamos usar SHODAN con el parámetro net: para acotar las IPs de la organizaicón (como hace la FOCA) y buscar la firma de MicrosoftSharePointTeamServices.


Figura 2: Banner SharePoint con SHODAN
Como se puede ver, ne la firma aparece también la version de la Build. Esto no parece lo más inteligente que se diga, ya que esa firma identifica con exactititud la versión en concreto y el nivel de parcheo. En la imagen es una versión de 12.0.0.4518 que marca la versión RTM sin parchear de WSS 3/ MOSS 2007. Para el libro nos hemos tenido que currar una lista con todas las builds, que esto es muy interesante.

NTLM

Por supuesto, ya que estamos, podríamos descubir, si el parámetro WWW-Autheticate identifica que se ha utilizado el sistema de autenticación basado en NTLM, el dominio contra el que está autenticando ese servidor.

Para ello, basta con que usemos un proxy, como Odysseus o Burp, e intentemos autenticarnos. En la respuesta de error, en el parámetro WWW-Autenticate del Reply, vendrá la información del dominio.


Figura 3: Intercepción de respuesta con Odysseus
Viene en formato Base64, así que basta con decodificarlo y acceder a la info del dominio interno contra el que se está autenticando a los usuarios.


Figura 4: Decodificación del dominio en WWW-Authenticate
Espero que el resultado final de todo lo que incluyamos en el libro de Seguridad en SharePoint que vamos a sacar os guste al final, pero ya os digo que para nosotros está siendo divertido escribirlo.

Saludos Malignos!

MOSS Wanted

Este miércoles se alertó en la lista de Bugtaq de la existencia de una vulnerabilidad de XSS en los portales de MS Microsoft Office SharePoint Server 2007, es decir, los MOSS. El fallo de XSS se encuentra en el componente utilizado en el programa utilizado para la ayuda help.aspx y, haciendo uso del archi-famoso .

http://host/_layouts/help.aspx?cid0=MS.WSS.manifest.xml%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E&tid=X

Si embargo, la vulnerabilidad no sólo afecta a los MOSS 2007, sino a todos los SharePoint Services, así, los portales con Windows SharePoint Services 3.0 también se ven afectados por ella.


Figura 1: XSS en WSS 3.0
Teniendo en cuenta que los ataques de XSS pueden utilizarse para realizar ataques que pueden ir desde lo auténticamente desternillante como los que se hicieron a la web de EU, SGAE, etc... hasta lo auténticamente peligroso, como en el caso del Hijacking a Apache, esto no es ninguna broma.


Figura 2: 40.000 resultados con la URL de la web vulnerable
Más, cuando basta con hacer una pequeña búsqueda en Google para descubrir 40.000 sitios en Internet con este componente cargado. A esto hay que sumar las intranets, los blogs corporativos, etc… Vamos, que si tienes clientes con SharePoint hagas como nosotros hoy y te dediques a avisarles.

Para poder arreglarlo, mientras que Microsoft saca el parche, lo mejor es deshabilitar la ayuda. Esa aplicación te muestra la ayuda sobre las opciones mostradas en cada una de las pantallas, así que nosotros hemos trincado el aspx, situado en:

"%Program Files%\Common Files\Microsoft Shared\web server extensions\12\TEMPLATE\LAYOUTS\"


Figura 3: Archivo modificado por FILEMASTER para deshabilitar la ayuda
Y le hemos puesto un bonito mensaje de que la ayuda está deshabilitada hasta que salga el parche.


Figura 4: Ayuda deshabilitada
No es la opción más elegante, pero hemos pensado que era lo mejor para evitar posibles flecos. Al mismo tiempo, si cuentas con un WAF, piénsate en poner alguna bonita y hermosa regla que deshabilite el acceso desde fuera a URL. Esto evitaría los ataques externos, pero no los internos. Por supuesto, filtros AntiXSS up and running que, por muchos fallos que puedan tener a día de hoy, dificultan muchos ataques y hacen más complicado el desarrollo de exploits funcionales.

Saludos Malignos!

SharePoint 2010, Exchange 2010 y Encuentro High Level en Deusto

La próxima semana parece que será más o menos tranquilita, tendremos los Hands On Lab en Madrid dedicados a Exchange Server 2010, los Virtual HOLs a lo que serán los primeros eventos técnicos en España de SharePoint Portal Server 2010 y, mientras yo me voy a la Troopers 2010 en Hilderberg y regreso para el MVP Open Day que tendrá lugar el próximo viernes día 12, en Deusto, habrá un encuentro de alto nivel con con Gonzalo Álvarez Marañón, Xavier Mitxelena entre algunos de los "pesos pesados". Esta es la agenda.

Lunes, 8 de Marzo

[Madrid] HOL Exchange Server 2010 Novedades
[Madrid] HOL Exchange Server 2010 Migración desde Exchange 2003/2007
[Alemania] Troopers 2010

Martes, 9 de Marzo

[Madrid] HOL Exchange Server 2010. Alta disponibilidad
[Online] Virtual HOL SharePoint 2010 Arquitectura e Implantación
[Online] Virtual HOL SharePoint 2010 Entornos de Colaboración
[Bilbao] ¿Cómo protegernos de los peligros de Internet?

Miercoles, 10 de Marzo

[Online] Virtual HOL SharePoint 2010 Gestión de Contenido

Jueves, 11 de Marzo

[Madrid] HOL Exchange Server 2010. Cumplimiento de Leyes
[Online] Virtual HOL SharePoint 2010. Servicios de Indexación y Búsqueda

Viernes, 12 de Marzo

[Madrid] HOL System Center Operations Manager
[Madrid] MVP Day {Sólo para MS MVPS }:(

Saludos Malignos!