jueves, diciembre 31, 2009

Momentos en 6 meses

Otro medio año se ha pasado dando vueltas por el mundo, y, en la tranquiliadad de "mi despacho" (a buen entendedor...), me gusta recordar en que he gastado las horas de mi vida desde que llegó el verano.

Si me ponga a enumerar ha sido un periodo intenso: i64 hizo diez años, estuvimos en el SIMO, he dado media vuelta a España con la gira de lanzamiento de Windows 7, pasé por la Ekoparty en Buenos Aires, visité Manizales en Colombia, me fui la CONFidence 2.0 en Varsovia, charlé en el DISI, en la Universidad de A Coruña, en Almería, etc... Vamos, un ajetreo interesante, así que he seleccionado algunas de las más de mil fotos que tengo de este periodo que me traen... "buen rollo". Así no me olvido de porque elegí esta forma de vida.


Con el doctor Hugo Krawzyck en el DISI


En el lanzamiento de Windows 7


Con Miguel Angel Valero tras contarle mi problema del Diagrama Entidad Relación


Algunos de los pájaros que nos juntamos en el Asegúr@IT Camp!


Nico de Nicodemo. Haciéndome monerias y yo calzado para la ocasción


Así nos recibieron en Manizales...¿Es o no para volver?


...y sin embargo acabé ligando con "el de siempre"


En la Ekoparty con Deviant Ollam. Una persona y un profesional fantástico.


Con los compañeros de la mesa del DISI, a Dab no se le ve pq es el que estaba tirando la foto y pwneando mi dibujo


Y de Varsovia me impactó este conjunto escultórico


Cada año me siento un poco más mayor, pero...¿pensáis que es como para rendirse tan pronto?

Saludos Malignos!

miércoles, diciembre 30, 2009

Afición a la Escritura

Mi afición por la lectura y la escritura vienen de cuando yo contaba con pocos años de edad. Quizá la escritura tardó más en entrar en mi vida que la lectura, que, con el “Dragón Tragón” de Gloria Fuertes y un libro titulado el “Árbol Sabio”, la recuerdo desde muy temprana edad en mi vida. Me gustaba leer libros sí, pero siendo honesto, el mejor momento era cuando los Reyes Magos nos regalaban a mi hermano y a mí los Super-Humores. Un Super-Humor para cada uno…¡qué festín! Desayunábamos durante días con el Super-Humor apoyado en la pared mientras metíamos galletas al tazón de leche.

Lo de escribir me dio un poco más mayor, quizá con 11 u 12 años. Tuve la suerte de disfrutar de un bloque de vecinos peculiar que contaba con rockeros, telecos, fans de star wars y amantes del rol. Uno de ellos tenía una imaginación exorbitada y yo me pasaba horas con él inventando historias y aventuras extrañas. Una de ellas nos llevó a crear un programa de radio que nos grabábamos para nosotros. Se llamaba “Metal Danger”. Sólo de recordarlo me parto de risa. Pasábamos horas haciendo diferentes programas y en él, incluso, hacíamos entrevistas a personalidades, que éramos nosotros mismos con la voz cambiada ¡Dios, cuanto se parece este blog al Metal Danger!

Otra de las aventuras que nos dio por hacer, con la aparición del video en nuestras casas, fue la de escribir un mini-resumen, tipo ficha, a máquina de escribir, de todas las películas de vídeo que viéramos. Así, después de ver una película, escribíamos una reseña de dos folios partidos al medio y doblados en 4 que después grapábamos al medio y en la que además dibujábamos la portada a mano. Creo que llegamos a hacer más de 200 resúmenes de películas que no sé donde se encontrarán hoy en día.

Esa afición me llevó a aprender a escribir a máquina de forma “profesional”, es decir, apuntarme a sacarme los tres títulos que había que obtener entonces en Madrid (ya no sé si se seguirá haciendo así). Yo escribía por aquel entonces ya con dos dedos y, de forma autónoma, empecé a hacer las famosas series de asdfghjklñ y los abcdefghijklmnopqrstuvwxyz que había que escribir sistemáticamente durante una hora. Mi madre me prometió que me apuntaría a la academia en verano si sacaba todo sobresaliente, así que estuve esforzándome para, al acabar la EGB entrar en la academia de Mecanografía.

Llegó el verano y aprobé los tres cursos en un mes y medio. ¡Qué guay! Ya sabía escribir a máquina, con 12 años. Y estaba tan contento cuando vi que la academia de mecanografía abría unos nuevos cursos de “Informática” a los cuales yo ya podía entrar porque…¡sabía escribir a máquina!

Hoy en día, desde que me levanto temprano hasta que cierro el chiringuito a final de la tarde, si no estoy dando charlas o leyendo, me lo paso escribiendo. Actualmente estoy recogiendo en un libro todo lo que hemos estado trabajando sobre seguridad web en estos dos últimos años que se publicará … pronto. Así que mi dedicación a escribir se ha incrementado aún si cabe.

Lo cual me lleva a la siguiente pregunta… ¿Por qué cojones cuando introduzco mis putas contraseñas, todas ellas de menos de 20 caracteres, las tengo que escribir siempre varias veces porque me equivoco? ¡La madre del topo! Toda mi puñetera vida escribiendo, mis títulos de mecanografía y todo y soy "incapataz" de escribir 15 caracteres seguidos sin equivocarme por las mañanas.

Hago chorrocientas pulsaciones por minuto y, sin embargo, cuando me levanto por las mañanas, para meter una puta password de 12 caracteres, fallo más que una escopeta de feria. A veces me cabreo tanto que abro el bloc de notas y practico la contraseña, al más puro estilo abecedario de curso de mecanografía, para aprender y afinar los movimientos de los dedos de las más complejas. ¡Que vida más triste! ¿Soy al único que le quema equivocarse con las passwords?

Saludos Malignos!

martes, diciembre 29, 2009

Abiertas nuevas fechas para los RootedLabs

Durante el tiempo que lleva abierto el registro, ya algunos laboratorios se han llenado, así que se ha decidido abrir tres nuevas fechas para los seminarios de Reverse Engeniering, Pentesting y Seguridad Web. A día de hoy la ocupación de los Labs garantiza la ejecución de los seis seminarios lo cual es un éxito de antemano y se está cerca de colgar el "SOLD OUT". Si la ocupación de las nuevas fechas también se llenan, se abrirán esos horarios para los tres nuevos cursos.

Si tienes interés en asistir, apúntate antes de que sea tarde que el número de plazas está muy limitado. Las fechas de los trainings quedarán por tanto de la siguiente forma:

Lunes, 15 de Marzo

•Lab: Reverse Engineering - Rubén Santamarta (48bits)
•Lab: Digital Forensics - Juan Garrido "silverhack" (informática 64)
[Incluye el libro de "Análisis Forense Digital en Entornos Windows" de regalo]
•Lab: Técnicas de Inyección en Aplicaciones Web - Chema Alonso (informática 64) - Nueva Fecha

Martes, 16 de Marzo

•Lab: Malware Analysis - Ero Carrera (Hispasec Sistemas)
•Lab: Secure Enterprise WiFi Networks - Alejandro Martín (informática 64)
•Lab: Pentesting - Alejandro Ramos "dab" (SecurityByDefault) - Nueva Fecha

Miercoles, 17 de Marzo

•Lab: Pentesting - Alejandro Ramos "dab" (SecurityByDefault)
•Lab: Técnicas de Inyección en Aplicaciones Web - Chema Alonso (informática 64)
•Lab: Reverse Engineering - Rubén Santamarta (48bits) - Nueva Fecha

Tienes la agenda detallada de todos los trainings, y la información del registro en la siguiente URL: Rootedlabs Site

Saludos Malignos!

PD: Recuerda que si tienes pensado venir a la RootedCon, el periodo del registro temprano acaba el día 31 de Diciembre.

lunes, diciembre 28, 2009

FOCA será de pago

Tras el cierre de cuentas de Informática64, hemos detectado que la crisis de este año 2009 nos ha afectado muchó más de lo que preveíamos en un inicio con lo cual, tras una reunión de urgencia este domingo, hemos decidido tomar ciertas medidas correctivas a partir del año que viene.

En primer lugar, y quizá lo que más os llame la atención, es que la FOCA será de pago. Hemos decidio dejar FOCA RC3 de descarga gratutita hasta el día de los Reyes Magos, como regalo de I64 hacia todos, pero a partir del día después la FOCA pasará a ser una herramienta con coste.

La nueva versión tendrá un coste de 30 € por unidad. Pensamos que no es un coste excesivo y que puede ayudar a sufragar los costes de desarrollo de FOCA y MetaShieldProtector. La versión online de la FOCA, tendrá un coste de 1 € por documento analizado.

Además, hemos decidido que, los libros que editamos desde I64, es decir, el de Análisis Forense Digital en entornos Windows y el de Aplicación de medidas técnicas y organizativas para la implantación de la LOPD en la empresa, tendrán una subida del 50 % pasando a costar, desde el próximo día de Reyes Magos, 30 € por unidad. Eso sí, se mantendrá el Pack Librería que hemos puesto a disposición de aquellas librerías que deseen distribuir los libros.

Sobre otras medidas correctivas de esta situación de crecimiento negativo aún estamos hablando. Se está pensando en la posibilidad de hacer los Retos Hacking de pago, o de duplicar los precios de los Hands On Lab, Virtual Hols, Azlan D-Link Academy o los de los RootedLabs, pero de momento se ha decidido mantener los precios.

Lo que si hemos decidido es apuntarnos a un MBA del Instituto de Empresa que por lo visto tienen algún profesor de tecnología muy avispado en los negocios y tal vez nos pueda enseñar alguna cosa de como rentabilizar mejor nuestros conocimientos técnicos. Tal vez estamos insistiendo demasiado en la parte técnica y con un par de mensajitos en el twitel lo podríamos arreglar.

En fin, es triste dar estas noticias, pero lo importante es que I64 siga adelante, qeu no quiero ser el parado Un Millón Uno.

Saludos Malignos!

domingo, diciembre 27, 2009

Control de Cuentas de Usuario (VI de VI)

************************************************************************************************
- Control de Cuentas de Usuario (I de VI)
- Control de Cuentas de Usuario (II de VI)
- Control de Cuentas de Usuario (III de VI)
- Control de Cuentas de Usuario (IV de VI)
- Control de Cuentas de Usuario (V de VI)
- Control de Cuentas de Usuario (VI de VI)
************************************************************************************************

La comparación con SUDO

“Sudo (su "do") allows a system administrator to give certain users (or groups of users) the ability to run some (or all) commands as root while logging all commands and arguments.”

Así se resume, en su primera frase, el proyecto SUDO. En un proyecto que permite a los administradores dejar a ciertos usuarios o grupos de usuarios la capacidad de ejecutar comandos como root, eso sí, registrando todas estas acciones para su análisis posterior.

Ésta es una diferencia fundamental con el funcionamiento de UAC. En sudo todas las acciones administrativas se van a gestionar con el fichero de configuración de sudoers que define que usuarios van a poder ejecutar que acciones con la cuenta root. Esto añade dos puntos de configuración de cuentas. Por un lado, ciertos grupos y usuarios, por el hecho de ser los owners de ciertos comandos ya tienen privilegios adquiridos y, con el fichero sudoers se añaden más capacidades a los usuarios limitados. Es decir, obtener una lista completa de las acciones que pueden ser realizadas por un usuario no es igual a ver los privilegios concedidos en sudoers.
UAC no es para nada similar a este comportamiento ya que UAC protege los propios privilegios de la cuenta y no las veces o para qué cosas podría utilizar la cuenta de administrador. UAC permite aplicar el Mínimo Privilegio Posible a tus propios privilegios. Sudo NO.

Si un usuario tiene privilegios de cuenta sudo no se los protege, como mucho podría prohibirle usar los privilegios de root siempre, pero nunca restringir la ejecución de sus acciones con menos privilegios de los que la cuenta tiene por sí misma. Es decir, si un usuario tiene acceso a manipular /etc/shadow y ejecuta un programa del sistema suplantado que crea por debajo un usuario, este programa tendría la posibilidad de hacerlo. Con UAC no.

Luego, se podría resumir como que Sudo utiliza una aproximación al concepto del Mínimo Privilegio Posible totalmente distinta a UAC. Sudo lo hace intentando restringir qué cuentas pueden ser root para qué cosas mientras que UAC lo hace gestionando cada privilegio de la misma cuenta evaluando el MPP para cada acción del usuario.

Para la restricción de las acciones de las cuentas de usuario en los sistemas MS Windows, desde hace mucho tiempo, se utiliza un grupo de roles dentro del sistema llamados Built-in que tienen segmentadas las diferentes opciones de comandos de administración del sistema. UAC también protege el uso de cualquiera de esos privilegios dentro del sistema operativo.


Grupos de usuarios con permisos especiales en Windows

Las patentes

El tema de las patentes de software es siempre un tema delicado y polémico, pero en los Estados Unidos es el día a día entre la industria tecnológica (e incluyo aquí cualquier aplicación que se haga de la misma a otros campos como la medicina, biología o ponga-usted-su-rama-científica aquí). Este funcionamiento, como ya es sabido por todas ellas, puede llevar a la farragosa historia entre Adobe y Macromedia [1] [2] de la que salieron airosos mediante una fusión o al “curioso” acuerdo entre Spectra y Suse.

El caso es que tanto SUDO como UAC tienen sus patentes que les cubren ante una posible demanda legal. Patentes reconocidas ambas e independientes entre ellas. Si después de 6 post de este artículo aún no has visto que son dos formas distintas de intentar conseguir un mismo objetivo, la aplicación del Mínimo Privilegio Posible, yo ya no puedo hacer más.

- Patente que cubre SUDO
- Patente que cubre a UAC

Conclusiones finales

Gracias al funcionamiento de UAC es posible tener una única cuenta en el sistema que funcione como usuario y como administrador al mismo tiempo sin ningún riesgo de ejecución privilegiada sin tu conocimiento. Gracias a esto, es posible tener deshabilitadas el resto de cuentas dentro de tu equipo.


1 cuenta para gobernarlos a todos

UAC en los sistemas Microsoft Windows no ha venido como una prueba a ver qué tal sale y ya si no gusta lo quitamos. UAC ha venido para quedarse y se está muy contento con él. Seguramente se siga trabajando en refinar su uso, re-factorizar más las APIs, mejorar la interacción con el usuario y las opciones de administración para poder cubrir mejor los casos degenerados. Se ha seguido mejorando en las opciones y las herramientas de compatibilidad para las aplicaciones antiguas y que así su interacción con UAC sea lo más satisfactoria para el usuario. Todo es mejorable, y gracias a eso no nos hemos quedado en MS-DOS 6.22 [rulez!!]

Si el entorno de tus usuarios es delicado o tus familiares y amigos tienen tendencia al doble clic masivo, busca la mejor configuración para lograr el equilibrio en tu red con las políticas de UAC que vimos en el post anterior.

Pero sobretodo espero que, después de estas parrafadas, cuando alguien te recomiende que desactives el UAC le mandes a la playa o que cuando algún familiar te diga que si debe quitar el UAC le digas que no y le expliques que UAC no es COCO sino que está para protegerle de los auténticos “cocos de la red”.

Saludos Malignos!

************************************************************************************************
- Control de Cuentas de Usuario (I de VI)
- Control de Cuentas de Usuario (II de VI)
- Control de Cuentas de Usuario (III de VI)
- Control de Cuentas de Usuario (IV de VI)
- Control de Cuentas de Usuario (V de VI)
- Control de Cuentas de Usuario (VI de VI)
************************************************************************************************

sábado, diciembre 26, 2009

Data Type Conversion Attack en PHP

Esta prueba permite a un atacante descubrir el path local de la instalación en servidores utilizando PHP en los que los mensages de error no han sido completamente bloqueados. La idea es utilizar los parámetros http para ejecutar una conversión implícita del tipo de datos con el objetivo de generar una excepción no controlada que muestre la ruta de instalación en el servidor web de ese código. Este trabajo fue publicado por Manu "The Sur" en la lista "Full Disclosure".

Local Path disclosure

Supongamos un código PHP de la sigiente forma que esté ejecutándose en un servidor web:

Dca.php
[?php
$vuln= $_GET["var"] +1;
?]


Como se puede ver, este programa recibe un parámetro numérico que es utilizado para ejecutar una función matemática. La forma normal de invocar este programa sería la siguiente:

- http://www.testserver.com/dca.php?var=1

Con el objetivo de forzar la conversión del tipo de datos, la siguiente sintaxis de llamada puede ser utilizada:

- http://www.testserver.com/dca.php?var[]=1

Esta sintaxis, utilizando los corchetes, forzará al motor PHP a convertir el tipo de datos del parámetro en una estructura de tipo array. Si el parámetro display_errors en el fichero de configuración php.ini está activo, el servidor web mostrará un mensaje de error como el siguiente:

Unsupported operand types in C:\server\htdocs\dca\dca.php on line 2

Este comportamiento es debido al hecho de que no hay una función de sobrecarga para el operador suma en las estructuras de datos array. Existen muchas funciones PHP que están programas de forma similar a la mostrada en el ejemplo DCA.php y que permiten que, si los errores no estén bloqueados, se pueda ver la ruta de instalación.


Ejemplo de Local Path disclosure

Este error puede ser mucho más peligroso si, por ejemplo, se descubren nombre de ficheros o extensiones no protegidas en el servidor web.

Saludos Malignos!

viernes, diciembre 25, 2009

Papa Noel trae Windows 7 por Navidad

No quería dejar de pasar el momento de felicitaros la navidad y las fiestas desde el lado del mal, así que, aprovecho que se está dando uno de los anunciados pasos hacia el apocalipsis del 2012, para dejaros, en este día de resaca una bonita coincidencia de cuotas y versiones en momento tan señalado para hacerlo.


Tracking diario de cuota de Windows 7 en MarketShare

En la imagen tenéis el tracking de cuota de mercado de Windows 7 hasta el día 22 de Diciembre [es el último publicado por MarketShare a día de hoy] en el que se puede observar que Windows 7 está listo para llegar en Navidad al 7 % de cuota de Mercado.

Se ve que Papa Noel estas navidades, a parte de traer GOL televisión, jamones Navidul y Campofrío y nuestros libros de "Análisis Forense" y "LOPD" va a traer mucho Windows 7...

Y, como estamos en momentos entrañables de recuerdo, os dejo un anuncio para el recuerdo...


Windows Me rulez!

Saludos Malignos!

jueves, diciembre 24, 2009

Postal Navideña: Director's Cut

Para no olvidarme y dejaros felicitados a todos, os paso la felicitación masiva que hice para I64 en Versión "Censored" y en versión "Director's Cut".


Versión Oficial: Censored. Éste es el corte del productor


Versión "never seem before": Director's Cut. La que nadie ha visto aun

A veces creo que mis compañeros de I64, en algunos momentos, coartan mi libertad de expresión...

Saludos Malignos!

miércoles, diciembre 23, 2009

Horney Patches

Uno de los debates que tiempo ha han dedicado mis mejores broncas en algunos de los más perdidos bares es el tema de confundir el Uptime del servidor con el Uptime del Servicio. Existes seres que cuentan el tiempo que lleva su servidor sin reiniciarse como el que cuenta los intereses de la cuenta naranja de ING y luego se defienden como gato panza arriba cuando les preguntas por los parches. Las respuestas pueden ser de lo más peculiares que yo las he ido catalogando:

A) Servidor Chuck Norrix:
Son los que usan esta distribución de Linux al más puro estilo Ranger y están por encima del bien y del mal. La respuesta suele ser:

¿Parches? Mi server es un hax0r y no tiene bugs y no necesita parches…

B) IT Pro Sherlock Holmes: Son los que ante la pregunta de por qué su servidor lleva 400 días de uptime responden:

¿Parches? Me los reviso uno a uno y sólo he instalado los que aplican a mi entorno. Y como mi equipo no tiene ni kernel, pues no le he tenido que aplicar ninguna.

¿Qué tienes majo, un Furby server?

C) El servidor en escabeche: Los servidores son como las anchoas, se conservan sin tocarlos, por lo que los servidores NO se parchean. Eso, y si puedes ponlos de cara a Internet y sin contraseñas, que tengo unos amigos locos por visitar tú servidor. Os dejo un mail de un sufrido lector de este blog:


Fijaros el trabajo que duro es. PRIMERO: Haz el parche y comunica a todo el mundo que hay un parche nuevo. SEGUNDO: Comunica a todo el mundo que no lo instale. Trabajar en Spectra es duro.

El mail lo deja claro..."Nosotros te lo instalamos, pero que sepas que... SE TE VA A JODER EL UPTIME sólo por 57 actualizaciones críticas de mierda".

D) Horney Patches: No, eso de reiniciar tras aplicar un parche es un atraso desde que existen las estrategias de parcheo en caliente.
Nosotros parcheamos on fly…

Es este último tipo de respuesta el que más me preocupa. Vaya por delante que generalmente la peña que da una de estas tres respuestas suele estar excusando una negligencia supina que se ha basado en no aplicar ninguna solución de parcheo y que lo único que busca es salir airoso del rincón donde se encuentra atrapado. La verdad es que sí tiene parches, no se ha revisado todos los parches de todos los productos que están corriendo en su servidor uno a uno y, por supuesto, no parchea en caliente.

Parchear en caliente es una solución delicada. Los sistemas MS Windows, desde Windows Server 2003 SP1, realizan, automáticamente, parcheos en caliente si está habilitada la opción de hotpatching. Para ello, los parches en caliente (que no cachondos) de los sistemas Windows llevan asociado el hotpatch, con los cambios que se deben realizar a la imagen cargada en memoria, y el coldfile, con el nuevo fichero que debe suplantarse.

Sin embargo, esto no siempre se puede realizar por lo que están catalogadas algunas limitaciones conocidas y algunos problemas de compatibilidad (que se habrán descubierto "por las malas"). Hay que tener en cuenta que el número de software instalado en un equipo es difícil de cuantificar y siempre queda la opción de que pueda darse alguna incompatibilidad que te fastidie "tu uptime".

Si el utilizar estrategias de parcheo en caliente con el software del sistema es complejo, el aplicarlo con componentes ejecutándose con altos privilegios que no vienen preparados para hotpatching es aun más temerario. La idea es que existen herramientas para que tú te crees el parche adecuado para esos componentes, es decir, el hotpach y el coldbinary utilizando herramientas externas. Esto, si estamos hablando de un servidor tan crítico que no puede ser reiniciado es una temeridad por si se produce cualquier fallo: tanto de incompatibilidad o como de cagada humana.

En resumen, si tu servicio es tan crítico que no se puede detener, entonces monta una estructura multiserver que para eso existen los clusters, los sistemas de réplica o las arquitecturas distribuidas. Si no es tan crítico el servicio, aplica los parches en la mejor franja horaria y reinicia cuando el fabricante te lo diga. Y si la has cagado a lo grande y el servicio no puede ser parado y has diseñado una arquitectura mono-servidor, entonces, y sólo entonces aplica la opción B) (por si tienes suerte) y la D) (para ver si salimos de esta).

Saludos Malignos!

martes, diciembre 22, 2009

Enero: Confirmado

Ya están cerradas todas las acciones que tendrán lugar durante el mes de Enero, así que, para aquellos que os interese, os dejo la información:

08 [Madrid] FTSAI V: Web Security

Dentro del curso de Formación Técnica en Seguriad y Auditoría Informática. Durará 5 viernes y acabará el 5 de Febrero. Yo estaré por allí.

13 [Getafe] Prueba AntiHacking

Los dos últimos grupos que va a hacer I64 de Antihacking en Getafe comenzarán el día 18 de Enero. Los cursos duran 100 horas, son gratuitos y hay uno en horario de mañana [09:00 a 14:00] y otro en horario de tarde [16:00 a 21:00]. Cada grupo son 15 alumnos. Es necesario pasar una pequeña prueba que se realizará el día 13 de Enero en el Centro de Innovación en Nuveas Tecnologías de la Comunidad de Madrid en Getafe, sito en la calle Arcas de Agua s/n, metro Conservatorio a las 10:00 horas en primera convocatoria y si no puedes pues a las 17:00 horas. El único requisito es estar en el paro o en situación de mejora de empleo.

14 [Pamplona] Gira Up to Secure 2010
18 [Getafe] Cursos de Antihacking
19 [Madrid] Gira Up to Secure 2010
20 [Barcelona] Gira Up to Secure 2010
21 [Andorra] Gira Up to Secure 2010
26 [Sevilla] Gira Up to Secure 2010
26 [Madrid] Azlan D-Link Academy: DL01 Network Design
26 [Madrid] Azlan D-Link Academy: DL05 Vídeo Vigilancia IP
26 [Online] Virtual Hol Windows 7 Security
27 [Online] Virtual HOL Windows Server 2008 R2 Implementing
27 [Madrid] Azlan D-Link Academy: DL04 Tecnología WiFi
28 [A Coruña] Gira Up to Secure 2010
28 [Madrid] Azlan D-Link Academy: DL02 Tecnología Switching

Ya tienes en qué pensar y cómo planificarte la vuelta de las vacaciones.

Saludos Malignos!

lunes, diciembre 21, 2009

Gira UP to Secure 2010: Abierto el registro

Antes de que acabe el año dejaremos publicadas todas las acciones que tendrán lugar durante el primer trimestre del año que viene, es decir, hasta las vacaciones de Semana Santa. Una de las acciones que tendrá lugar durante ese periodo es la Gira Up To Secure 2010.

Los mismos jugadores, las mismas reglas, el mismo periodo, nuevos contendios. Esta es la agenda oficial de la Gira Up To Secure 2010.

Agenda: Up To Secure 2010

Dirigido a IT Pros, responsables de seguridad y técnicos auditores de la seguridad de los sistemas informáticos. La gira Up To Secure 2010 recoge temas de actualidad en la seguridad informática para poder ayudarte en la tarea continua de mantener la infraestructura de tu empresa al día, segura y mejorando constantemente. Ven a pasar una mañana de seguridad con nosotros. Seguro que disfrutas con nosotros.

09:00 - 09:15 Registro

09:15 - 10:00 D-Link: Circuitos de Vídeo vigilancia IP

La seguridad física es una parte más de la seguridad de tu red o de tu negocio. Con las nuevas soluciones D-Link es posible controlar tu negocio a través de la red de tu organización, recibir las alertas en tus dispositivos móviles y almacenar las grabaciones en ubicaciones seguras. ¿Estás seguro de que en tu negocio pasa lo que tiene que pasar cuando tu no estás?

10:00 - 10:45 SmartAccess: Portátiles corporativos a prueba de robos

Utilizando Windows 7 y el acceso biométrico o el DNI electrónico Rames Sawart, de SmartAcces explicará las novedades de las tecnologías de seguridad incluidas el nuevo sistema operativo Windows, como BitLocker, BitLocker To Go y Windows Biometric Framework para poder combinarlo y proteger la confidencialidad de la información contenida en los portátiles corporativos usando tu e-DNI o accesos biométricos.

10:45 - 11:15 Café

11:15 - 12:00 Quest Software: Estrategia ante desastres en AD y Exchange

Se ha caído el servidor de correo y el AD. Tranquilos, tenemos copia de seguridad de ellos, ¿no? Los entornos de Directorio Activo y Exchange son críticos en cualquier compañía. Entre los complejos procedimientos de seguridad que se han de establecer, un punto fundamental es el plan de contingencia que permita recuperar ambos sistemas en caso de desastre. Durante esta sesión Quest mostrará una solución integral de Backup y Recuperación para tecnologías Microsoft (AD, Exchange y SharePoint).

12:00 - 12:45 Microsoft Technet: Forefront Client Security

Forefront Client Security es la solución de protección antimalware mejor pensada para tu entorno coorporativo. ¿Vas a migrar o estás pensando en migrar tu plataforma a Windows 7? Hazlo de una vez con Forefront Client Security y deja tu protegido para los próximos años. Totalmente integrado en el AD y controlable desde una consola centralizo. ¿Quieres saber cómo se implanta? ¿Quieres verlo funcionar?

12:45 - 13:30 Informática 64: Guerras Navales

Navegar por Internet es a veces casi igual de peligroso que navegar por los mares en tiempos en los que la piratería era un negocio honrado. En esta sesión se analizarán las principales medidas de seguridad que ofertan los principales Internet Browsers para proteger a sus intrépidos usuarios, que pululan por ese, cada vez más encrespado, mar que es la Red. También, conocerás, de primera mano Apolo, el nuevo ActiveX de I64 para ayudarte en la detección de correos falsos en los sistemas de correo electrónico a través de web.

13:30 - 13:45 Preguntas

Por si alguien lo pregunta, la asistencia es totalmetne gratuita, no tienes que pagar nada. Las ciudades y las fechas y el link de registro:

- 14 de Enero: Pamplona [FINALIZADO]
- 19 de Enero: Madrid [FINALIZADO]
- 20 de Enero: Barcelona [FINALIZADO]
- 21 de Enero: Andorra [FINALIZADO]
- 26 de Enero: Sevilla [FINALIZADO]
- 28 de Enero: A Coruña [FINALIZADO]
- 25 de Febrero: Zaragoza [Registro]
- 02 de Marzo: Valencia [Registro]
- 03 de Marzo: Murcia [Registro]
- 16 de Marzo: Tenerife [Registro]

Ya podéis reservar vuestro hueco para el café. También alguno echará en falta alguna ciudad habitual en las giras, pero es que sólo podíamos ir a 10 y hemos elegido en función de los apoyos y el interés de los colaboradores. Valladolid, Vigo, Palma de Mallorca, Bilbao, Las Palmas de Gran Canaria o Málaga serán tomadas muy en consideración para la gira del verano, ya sabéis, la Gira Summer of Security.

PD: El día 22 de Enero ha caido un viernes tonto en Andorra que aprovecharemos para hacer un poco de Snowboard. Si eres un/a pirad@ de esto y te apetece venirte y pagarte tus cosas... ya sabes, yo iré con mi Excalibur rodando montaña abajo...

Saludos Malignos!

Version Stop Blinded

Tiempo ha, en una de nuestras primeras auditorías de seguridad, nos topamos con una página web en la que pudimos entrar gracias a la zona que tenían especial para ciegos en la versión en inglés de la web. Esa página estaba construida en modo texto y en líneas cortas para que la impresora Braile pudiera mostrar de forma cómoda la información y los enlaces.

Lo curioso de esa página es que el enlace que se había creado en la página principal para acceder a ella tenía el texto del título de este post: Version Stop Blinded.

Mis conocimientos de inglés en aquel momento no daban para que le prestara más atención al detalle, ya que bastante tenía yo con intentar entrar a la zona privada. Sin embargo, en uno de esos momentos de intento trabajo pasó un compañero al que llamábamos “el inglés”, debido a sus estudios de filología inglesa y sus 5 años visitando durante 3 meses una familia británica, y cuando lo vio se empezó a descojonar.

Terminado su momento de diversión nos explicó que el que había hecho la traducción había trasladado palabra por palabra en algún cacharro de esos que venían con las calculadoras y ofrecían vocabularios de 1.000 o 5.000 palabras. Así, “Para” lo había traducido por el famoso verbo de parar “Stop”. Vamos, que nos encontrábamos ante un autentico caso de los famosos libros “De perdidos al rio” [From the lost to the river], “Hablando en Plata” [Speaking in Silver], “Cágate lorito” [Shit yourself little parrot] o los más modernos cursos de “Gomaspuminglish” y su inglés para lechones.


¿Cuándo libras? -> When do you pounds?

Lógicamente, en nuestro informe pusimos una referencia al pequeño despiste en la traducción del texto del enlace que el cliente agradeció y cambió por el texto que nos recomendó nuestro amigo el inglés: “Visually Impaired”. Este término se usa para referirse a gente que tiene una pérdida de visión pequeña, una gran pérdida de visión que lo hace ser ciego ante la ley e incluso a las personas totalmente ciegas.

Después de aquel incidente no se me volvió a olvidar jamás la calificación, así que cuando he visto en el blog de Sophos que había Spam for the visually impaired me he quedado un poco sorprendido. ¡Joder, como se preocupan los spammers por dar cobertura a todos sus clientes!

La gracia es que el mail, de nuestros queridos doctores de la viagra, acompaña sus mensajes con un bonito fichero en MP3 para conseguir que los que tienen algún problema al leer sus ofertas, puedan hacerlo. Esto es importante, ya que muchos de los spams referidos a las mágicas píldoras azules son imágenes, lo que dificultan su reproducción por la impresora Braile. Al final, hay que tener en cuenta que son Visually Impaired y no Sexually Impaired.

Espero que reciban algún premio pronto por su esfuerzo de integración. ¿Qué era esto de que los Visually Impaired no pudieran enterarse de tan maravillosas ofertas que nosotros llevamos tiempo recibiendo?

Además, esto abre un nuevo mundo para las tecnologías antispam, que deberán empezar a modificar sus filtros de contenido para sistemas Visually impaired, así, deberán ser capaces de reconocer las palabritas en los audios para poder bloquear MP3 en función de si venden viagra, alargamientos de penes, o es una canción que no ha pagado su pertinente Canon. Ostras, ahora que lo pienso…¿no estarían estos filtros disfrutando de las canciones y por tanto se verían obligados a pagar un canon por escuchar la música? Apasionante mundo se abre…

Saludos Malignos!

domingo, diciembre 20, 2009

Control de Cuentas de Usuario (V de VI)

************************************************************************************************
- Control de Cuentas de Usuario (I de VI)
- Control de Cuentas de Usuario (II de VI)
- Control de Cuentas de Usuario (III de VI)
- Control de Cuentas de Usuario (IV de VI)
- Control de Cuentas de Usuario (V de VI)
- Control de Cuentas de Usuario (VI de VI)
************************************************************************************************

Ventanitas de Sí o No

Una de las críticas que hacen los detractores de UAC es que el modo aprobación, es decir, el modo en el que a las cuentas de administración se les solicita un clic en aceptar no es seguro. El argumento que utilizan se basa en la tendencia de los usuarios menos informados en temas de seguridad a hacer en Sí, Yes o Aceptar en toda clase de ventanas que aparecen en su escritorio.

Es cierto que existen estos usuarios y muchos de ellos han desarrollado sofisticadas técnicas de guitarristas que consiste en tener la mano derecha en el ratón y la mano izquierda con tres dedos sobre las teclas “A”, “S” e “Y” para aprovechar la asignación de teclas rápidas a los botones e intentar batir la plusmarca mundial en la eliminación más rápida de una ventana de seguridad de la pantalla.

Para ellos, se les puede configurar UAC en un modo mucho más ajustado que no les simplifique la tarea cuando de los privilegios de administración estamos hablando. Esta configuración permite que el usuario diferencie entre una ventana de información y una ventana de elevación de privilegios.

Para configurar esto basta con entrar en la configuración de las directivas de seguridad con el comando “secpol.msc” y en las directivas locales configurar el comportamiento de la elevación para las cuentas administrativas.


10 Políticas de seguridad relativas a UAC

Como se puede ver en las opciones de configuración de la directiva permite seleccionar el comportamiento para las cuentas administrativas a la hora de usar el token administrativo entre:

- Elevar sin preguntar
- Elevar sin preguntar para los binarios de Windows
- Pedir consentimiento (approbal mode)
- Pedir credenciales


Configuración del comportamiento UAC cuando se requiere elevación

Es decir, que puedes hacer el ajuste adecuado para tu “luser” de turno.

Mi programa no funciona con UAC

Otra de las quejas que se oyen es que el programa de turno, que venía usando tranquilamente en Windows XP, ha dejado de hacerlo en Windows Vista o Windows 7. El comportamiento del programa simplemente es que cuando lo intentas ejecutar da un mensaje de error y casca.

Si al desactivar UAC el programa funciona correctamente, entonces te encuentras ante el típico caso de programa mal configurado para Windows Vista y Windows 7 que necesita privilegios administrativos. El fallo se está produciendo cuando el programa está intentando elevarse y el sistema no le está dejando generando que salte el control de excepciones de la aplicación que es el mensaje ese tan feo que seguramente ves.

Si te fías de esa aplicación, puedes probar que el problema es éste, simplemente haciendo una elevación explicita usando la opción de “Ejecutar como administrador” del menú contextual del programa.

Cuando un programa requiere privilegios debe configurar un fichero llamado Manifest.xml en el que especifica claramente cuál es la actitud que debe tener el sistema cuando un usuario lo ejecute.

El ficherito es muy similar para Windows Vista y Windows 7, pero sí es cierto que hay algún cambio para 7. La configuración se hace mediante etiquetas que le dicen al sistema si debe solicitar o no al usuario un nivel de privilegios concreto, si debe funcionar con el máximo privilegio que tenga la cuenta en ese momento o con algún nivel inferior, etc…

Puedes ver como se configura Manifest.xml para UAC en Windows Vista y los cambios que hay en Windows 7 para que tus aplicaciones ya no fallen “porque tienes activo UAC”.

Si ya confías en esa aplicación y no quieres usar la opción del menú contextual para forzar una elevación explícita, siempre puedes configurar la aplicación tú manualmente para que siempre corra como administrador. Este cambio conllevará que cada vez que se ejecute esta aplicación salte UAC tal y como lo tengas configurado en tu política de seguridad local.


Ejecución siempre como administrador

¿De verdad crees que todas estas opciones de flexibilidad no te permiten ajustar esta tecnología al uso que tú, tus familiares, tus usuarios, tus clientes, tus vecinos, tu novi@ o el gato de la tía de Tula le déis al ordenador para que sea de forma más segura?

************************************************************************************************
- Control de Cuentas de Usuario (I de VI)
- Control de Cuentas de Usuario (II de VI)
- Control de Cuentas de Usuario (III de VI)
- Control de Cuentas de Usuario (IV de VI)
- Control de Cuentas de Usuario (V de VI)
- Control de Cuentas de Usuario (VI de VI)
************************************************************************************************

sábado, diciembre 19, 2009

Spanish Way

Cuando estás en el extranjero encuentras momentos en que echas de menos aquello que te gusta de tu tierra. Así, eso de darle la mano a una chica que saludas, o saber el número exacto de besos que se dan al conocer a una persona suele cambiar de sitio a sitio. Así, muchas veces intentamos explicarle a los compis guiris como funciona es “spanish way”. Ya sabéis, para que sepan lo que se cuece en esta península con cara de mujer repeiná.

En Polonia nos dijeron que España sonaba a "exótico" y eso nos hizo bastante gracia. Bueno, lo cierto es que no nos comimos ningún colín por ser españoles, pero tuvo su gracia. Por supuesto, cuando estamso fuera, todo el mundo conoce tres cosas de España: El Flamenco, la paella y el "Roal Madrit".

En este caso, este vídeo de es un anuncio pero, como yo no veo la tele, me lo he saltado por completo. Ayer en la cena me lo escenificaron y, como me estuve riendo un buen rato con él, os lo voy a dejar, que está muy bien grabado.


Aaaaaaaaaaaaaaaaaayyyy Macarena…

Y una versión corta con subtítulos...


Aaaaaaaaaaaaaaaunnff!

Saludos Malignos!

UPDATE: Este de Navidul también tiene su aquel...


Con el jamón no se juega

PD: Tal vez alguno se pregunte porque esta afición a los jamones hoy.... pero es que en las cenas de empresa de i64 siempre circulan jamones, lomos, quesos y esas cosas tan tradicionales. A mi me cayó un pata negra de bellota del que voy a dar buena cuenta...

viernes, diciembre 18, 2009

¡Qué poca vergüenza!

CENATIC se define, en su propia web de la siguiente forma:

"CENATIC es el Centro Nacional de Referencia de Aplicación de las Tecnologías de la Información y la Comunicación (TIC) basadas en fuentes abiertas."

Es decir, que estos pájaros son los que tienen que ser la referencia de como se deben aplicar las tecnologías de la Información y la Comunicación de fuentes abiertas. Pues os habéis lucido y que quede como referencia el uso que le daís a las tecnologías.

CENATIC ha publicado dos documentos en los que hace una vehemente defensa del uso del software de fuentes abiertas en la educación pública. Estos dos documentos los podéis bajar en formato twitter, es decir, para que no tengas que hacer una sesuda reflexión y símplemente asumas como dogma sus 10 "mandamientos" o en formato cuento de navidad, en el que con un poco más de texto se puede acceder a un montón de mitos y futuribles llenos de colores. Ambos son ficheros PDF.

Antes de pasar a discutir el documento en formato twitter, que el otro ya ha sido comentado por mi fan de AC/DC y Deep Purple favorito, vamos a ver un par de detalles.

I) En primer lugar se pasan por el forro del TCP/IP el borrador del Esquema Nacional de Seguridad que hace referencia a los metadatos. Así, todos sus documentos se presentan con Metadatos almacenaditos. Este saltamiento de recomendaciones hace que se cumplan las predicciones del mismo, que reza:

"El incumplimiento de esta medida puede perjudicar:

a) Al mantenimiento de la confidencialidad de información que no debería haberse revelado al receptor del documento.

b) Al mantenimiento de la confidencialidad de las fuentes u orígenes de la información, que no debe conocer el receptor del documento.

c) A la buena imagen de la organización que difunde el documento por cuanto demuestra un descuido en su buen hacer."


II) Analizando los famosos documentos que han publicado en defensa del software de fuentes abiertas con la flamante FOCA RC3 [disponible desde ayer] vemos que los documentos están creados con ¿Linux? ¿OpenOffice y el magnifico formato PDF que soporta? ¿Alguna versión de software local de esta España nuestra que tanto se defiende que ayuda el software de fuentes abiertas? Nooooooo, error. El software utilizado es:


Spanish shame

Sí señor Mac OS X y Apple Keynote, pues nada, vamos a ver si consigo bajarme las fuentes abiertas de estos dos programitas.

No tengo la suerte (o no) de disponer de un Mac, pero según la wikipedia su licencia es de código cerrado. Eso sí, no nos preocupemos, que algunos componentes son de código abierto. Me pregunto si tendrán también, como hace Spectra, algún programa de compartición de código de fuentes cerradas con el gobierno de nuestra nación. Ya sabéis, por eso que dicen los amantes de la teoría de la conspiración, por si nos espía Steve Jobs. ¿Te imaginas? Años preocupados de que nos espiase Bil Gates y al final que resultase al revés, que quién nos espía es Steve. Sería muyyy fuerte.


Mac OS X en la wikipedia

¡Ay!, que ya se lo que ha pasado. Habéis visto MAC "OS" y claro os ha confundido, habéis pensado que OS era de "Open Source", pero no, es de... otra cosa. ¿Hace falta que os lo explique? ¡Qué descuido más tontorrón!

Con Apple Keynote, tampoco tengo suerte, no consigo descargarme el código fuente. Eso sí, puedo disponer de una trial gratuita de 30 días. [¿30 días? ¡Pero hombre de Diós, que hasta Spectra da 120 días en sus trials, estírate un poco más!] o comprar el producto.


Otro éxito de Apple

En resumen, nuestros amigos de CENATIC, que fomentan el uso de Open Source publican sus documentos hechos desde sus Mac OS y algunos con sus MS Office. Yo, que soy un tipo con tiempo libre y ganas de enredar, he descargado todos los documentos de la web de CENATIC para leérmelos con calma y ver si aprendo algo. Así que los he descargado y leído con la FOCA. Hay mucho PDF y ODF, también algún XLS y DOC, pero muchos o la mayoría de los PDF están hechos con MAC OS X.

Es curioso, porque cuando he hecho el análisis con la FOCA me reconocido el software que utilizan algunos ponentes de CENATIC que hablan de sus casos de éxito con el Open Source y usan MAC. Echale un ratito, bájate los documentos, "léelos" con la FOCA, analiza la red, y busca en Google a las personas que usan MAC, verás que cosas más curiosas...

Para terminar voy a responder el documento Twitter de los diez mandamientos.

1. Contribuye a formar personas libres, independientes, críticas y autónomas.

"... Y sin nada de cinismo, es decir, no recomendarán a nadie nada que no usen ellos".

2. Permite enseñar con herramientas adaptadas a la realidad del alumnado.

"...la realidad del alumnado, que no tiene que ver nada con la realidad de la empresa y las organizaciones como CENATIC donde se puede elegir el SW de fuentes cerrado porque hay democracia en este país"

3. Crea una Comunidad de Conocimiento Compartido.

"... eso, como las que apoyáis vosoros con Apple"

4. Favorece en la persona la libertad de elección tecnológica.

"Si quieres libertad de elección...¿por que os oponéis a las soluciones de arranque dual? Menos brecha digital y más poder de elección para el alumnado IMPOSIBLE. Pero no, queréis imponer algo que no usáis vosotros."

5. Evoluciona rápidamente y permite una eficaz solución de los problemas.

"...tan rápidamente, tan rápidamente que todo el mundo se queja de lo mismo: USABILIDAD y DRIVERS"

6. Una solución madura, con experiencias de éxito en el entorno educativo español.

".... ¿madura? ...¿éxito? Si es así, ¿por qué Extremadura va para atrás en las estadísticas de uso de Internet por la población?"

7. Permite ahorrar costes en la implantación, el mantenimiento y la gestión de los centros educativos.

"Eso... ya movéis la pasta de esas cuentas a las de servicios, que ya nos sabemos como hacéis la ingeniería financiera..."

8. Facilita que los alumnos dispongan en su casa de las mismas herramientas educativas que utilizan en su centro educativo, y de forma 100% legal.

" ...pues ponle arranque dual y que también tengan las mismas herramientas que se encuentran en la empresa y en CENATIC... que veo algunos MS Office instalados en vuestros PCs con Windows y en vuestros Mac OS. Las licencias Campus permiten a sus alumnos tener el 100 % de las herramientas que usan en sus centros en casa de forma legal."

9. Garantiza la seguridad.

"No pienso comentar esta me da la risa. Pero si quieres te regalo un caballito de pelo rosa. Pero no el de Lamest vendor security response, que no lo tengo yo"

10.Potencia la innovación de productos y servicios a través de empresas locales.

"... Claro, Apple, empresa con sede en Plasencia, Quartz, con sede en Albaladejo."

Saludos Malignos!

PD: Si no queréis tener problemas de SEGURIDAD y problemas DLP con vuestros documentos... Comprad MetaShield Protector. Es de pago y closed source, pero si queréis os hacemos unos componentes open ... y listo.

jueves, diciembre 17, 2009

BrowserSchools is Over: El Top Ten

Terminó el reto y 2 jugadores han conseguido solucionar todas las pruebas. Enhorabuena.

Las protecciones de IE8 han hecho que fuera un poco más complicado saltárselo, pero hemos visto soluciones muy, muy, muy ingeniosas. Firefox y Chrome no parece que haya costado mucho a los jugadores.

Todos los correos han sido evaluados y si no te ha llegado ninguna respuesta es porque, o ha dado un error en el link, o se ha visto demasiado claro el ataque de Phising (recordad que IE 8 resalta el dominio principal). No se ha permitido en ningún momento poner la password si la web estaba en otro dominio.

Hay soluciones fantásticas, pero nos estamos pensando si publicarlas en breve, o preparar el reto para un día y que puedan jugar todos, no sólo los estudiantes, durante 8 horas.

Tened en cuenta que se han procesado miles de correos electrónicos por seres humanos. Sí, personas con ojos, pelos y patas que han hecho click en el correo, han abierto el navegador y han suspedido las pruebas.


Enhorabuena a los ganadores: Hall of Fame

Saludos Malignos!

Escuela de Navegantes: Primer parcial

He de confesar, para ser honesto, que cuando pensamos en el reto para estudiantes de BrowserSchool para medir la dificultad de hackear a varios profesores distintos usando diferentes navegadores, no me imaginé que tuviera tanta acogida.

¿Será por las XBOXes de los premios?

El caso es que, tras el primer día, la actividad ha sido frenética. Los profesores se han pasado el día completo "corrigiendo" exámenes y suspendiendo a todo dios. Sin embargo, no sabemos como, 30 alumnos han conseguido aprobar algún parcial de alguna asignatura y hasta 6 asignaturas se han aprobado de forma completa.

Se han revisado más de 3.500 exámenes, así que los profesores, que son humanos, se han ido a descansar hasta el día de mañana, y prometen corregir todas las pruebas que lleguen antes de las 12:00.

Parece que está costando mucho quitarle la password al profesor que utiliza Internet Explorer 8, por lo que parece que el filtro AntiXSS está siendo, al menos, "algo molesto". Sin embargo, parece que los profes que usan Firefox y Google Chrome son más enrollados y cuesta menos aprobar con ellos. Son los guays del insti. Esto ya lo he vivido yo en mi época de bachillerato.

El que actualmente va en cabeza Jrt_1990 ha conseguido pasar todas las pruebas menos el tercer parcial de la tercera asignatura. Para ese parcial es obligatorio conseguir la password del profesor que utiliza IE8, así que está a un paso...

Beni está a un par de parciales de conseguir la matricula de honor y se vé un activo grupo de "¿amigos?" que siguen vidas paralelas en la superación de las asignaturas. Esto lo viví yo con mis compañeros de instituto. Estudiabamos juntos y aprobabamos con notas similares ;).


Hall of Fame BrowserSchool

El reto continuará mañana 3 horitas más, así que espero que los "ESTUDIANTES" que están jugando disfruten un poco más intentando sacar el reto.

Una vez acabado, y los premios entregados, publicaremos un solucionario con los mejores ataques con éxito y sin éxito. Si he de ser sincero, el intento de aprobar que más me ha gustado ha sido el de la señorita que nos ha enviado un mail expresándonos su profunda voluntad de "hacer cualquier cosa" para aprobar. Esto creo que también lo he vivido en mi época de universitario...

Saludos Malignos!

miércoles, diciembre 16, 2009

Dándole vueltas al tarro

Aún, cuando todavía no ha muerto el 2009, ya hace tiempo que estamos pensando en el 2010. De hecho el trabajo de planificación del primer trimestre de 2010 está casi cerrado y la semana que viene os pondré un avance de todo lo que hay hasta el mes de Abril, y que se empezará a ejecutar el próximo día 8 de Enero.

Algunas de las cosas son viejas formulas que nos gustan, como la campaña Hands On Lab, la Gira Up To Secure, los eventos Asegúr@IT, los cursos FTSAI o las formaciones de Azlan D-Link Academy. Sin embargo, con el objetivo de llegar un poco más allá, hemos estado dándole vueltas al tarro para ver cómo podíamos mejorar algunas cosas.

Para ello, en primer lugar, hemos montado los Virtual Hols y tendremos un proyecto piloto de dos sesiones a ver qué tal se porta la idea. Los Virtual Hols son un aula de ordenadores en la que el profesor está sólo con las máquinas de los alumnos. El profesor dará las explicaciones teóricas a través de Windows Live Meeting y los alumnos harán las prácticas conectándose a través de Terminal Services. Lo único que echarán de menos (o no) los asistentes es el contacto humano con el compañero, pero por lo demás esperamos que la experiencia funcione bien.

En principio el piloto se va a realizar en horario de España, para dar servicio a la gente de aquí que no puede desplazarse hasta las ubicaciones habituales de los Hands On Lab, pero si el funcionamiento es optimo y las líneas de comunicaciones lo permiten, intentaremos poner alguna sesión en horario de Sudamérica para que se pueda apuntar mucha gente que no tiene posibilidad de asistir.

Para no empezar con una estructura muy compleja hemos seleccionado estos dos HOLS, que han tenido muy buena acogida durante este año 2009, para "virtualizarlos".

VHOL-WK8R201 Implementación de MS Windows Server 2008 R2
Fecha: martes, 26 de enero de 2010
Horario de 09:00 a 14:00

En este Virtual HOL se suministrará a los profesionales IT los conocimientos y capacidades necesarios para llevar a efecto la implementación de la nueva release del sistema operativo Windows Server 2008 en diversidad de escenarios posibles. Para ello en el desarrollo del laboratorio se hará uso de los servicios y herramientas que el sistema operativo servidor aporta para optimizar la implementación del mismo. Dentro de los distintos aspectos abordados se observarán características propias del sistema que ya existían en versiones anteriores, prestando especial atención a las novedades que éste pueda presentar en su versión R2.


VHOL-WS701. Seguridad en Microsoft Windows 7
Fecha: miércoles, 27 de enero de 2010
Horario de 09:00 a 14:00

MS Windows 7 aporta diversidad de mejoras y avances respecto de anteriores sistemas operativos cliente. Uno de los apartados donde esto se aprecia de forma más acusada es en los aspectos relacionados con la seguridad de los sistemas. Observando esta condición, en el laboratorio que ahora se presenta se analizará el enfoque integral que el sistema operativo aplica al ámbito de la seguridad, haciendo especial hincapié en las mejoras, nuevas funcionalidades y herramientas que Windows 7 incorpora.


La información sobre la campaña y los dos Virtual Hols que se harán en Enero y en un futuro está y estará en la siguiente URL: Virtual HOLs.

No será esta la única novedad del 2010, alguna está aún por desvelar, pero los que nos seguís más de cerca ya sabéis alguna otra, como que hemos comenzado hace unos días a escribir un blog dedicado a las tecnologías Forefront de Spectra: Seguros con Forefront [RSS]. En Informática 64 realizamos muchos proyectos de seguridad con tecnologías Forefront, así que, como somos unos enfermos, nos hemos embarcado en esta película. Seguiremos de momento con el blog dedicado a Windows Técnico [RSS], mantendremos el de Forefront, y cada uno seguirá con su propio blog.

Además, con el décimo aniversario, decidimos cambiar un poco la imagen de la web y hemos creado dos RSS de Informática64, uno de ellos dedicado a los próximos eventos [RSS] y otro dedicado a noticias [RSS] que tienen que ver directamente con la empresa. Serán noticias cortas, nada de las parrafadas que me calzo yo en este blog. Así, seguro que nos tienes bien controlados.

Por último, si tienes alguna idea o iniciativa que creas que deberíamos hacer, propónnosla. Tal vez podamos llevarla a cabo o tal vez no, pero si no nos lo dices, nunca sabremos que es.

Saludos Malignos!

martes, diciembre 15, 2009

Control de Cuentas de Usuario (IV de VI)

************************************************************************************************
- Control de Cuentas de Usuario (I de VI)
- Control de Cuentas de Usuario (II de VI)
- Control de Cuentas de Usuario (III de VI)
- Control de Cuentas de Usuario (IV de VI)
- Control de Cuentas de Usuario (V de VI)
- Control de Cuentas de Usuario (VI de VI)
************************************************************************************************

El cambio en Windows 7

UAC en Windows 7 ha mejorado con respecto a Windows Vista, como era de esperar. Windows 7, con el kernel 6.1, se aprovecharon de todos los estudios de telemetría que se han realizado durante estos tres años con Windows Vista para poder optimizar los componentes del sistema operativo. Así por ejempolo, se ha reducido la carga en el consumo de CPU que tenían ciertas acciones en Windows Vista y, entre otras muchas cosas, se ha refinado aun más la refactorización de funcionalidades haciendo que UAC salte un poco menos, si es posible.

Un poco menos es un poco menos, aunque muchos recién llegados a Windows 7 piensen que el cambio entre Windows Vista se debe a una gran mejora en esta área, la respuesta es que se debe también a otros factores y no tanto a esta optimización. Lógicamente esta mejora en la refactorización ha ayudado pero el incremento se ha notado en la adecuación continua de las aplicaciones de terceros al entorno de trabajo de los nuevos kernels, como se vio en la parte anterior de esta serie, y al nuevo modo por defecto de Windows 7 para UAC. Ambos hacen que la sensación para muchos usuarios es que “antes estaba mal y ahora se ha arreglado”, lo que es un error de apreciación grave.

Modos UAC en Windows 7

La configuración de UAC en Windows 7 ha cambiado del original Activar/Desactivar de Windows Vista a una configuración basada en 4 niveles a los que yo, cariñosamente llamo Modo Windows Millenium, Modo Windows XP, Modo Windows Vista y Modo Windows 7.

El Modo Windows Millenium es equivalente a desactivar UAC, en este entorno no vas a recibir ninguna alerta cuando hagas uso de tus privilegios administrativos, nunca, ni cuando estés wipeando tu kernel con cariño y sin amor. Esto es lo que los “hax0rs” suele configurar cuando quiere Pwnear su propia máquina en casa.

El Modo Windows XP le permitirá a tus privilegios se utilizado para todo menos para el suicidio y la eutanasia. Sólo se recibirán avisos UAC cuando se esté tocando algo que puede dañar el funcionamiento del sistema, es decir, cuando se esté tocando la configuración de Windows. Si el troyano no toca la configuración de tu sistema, tú tranquilo, que no te molesta.

El Modo Windows Vista, mi preferido, el de los 5 clics cada 8 horas de la parte anterior del artículo, pedirá aprobación SIEMPRE que se utilicen tus privilegios de administración. No sé porque extraña tontería a mí me gusta saber cuando sucede eso y es el modo que tengo configurado.

El Modo Windows 7, es el nuevo nivel de UAC añadido. Este modo contempla una serie de herramientas de administración del sistema dentro de una “lista blanca” a las que se permitirá elevar al token administrativo si y sólo si se ha hecho clic manualmente y no ha sido llamado por un programa de forma automática.

La idea es que se puedan elevar las herramientas de administración de Windows cuando las utiliza un usuario. En cualquier caso, el administrador seguirá recibiendo la alerta visual del icono de UAC que indica que tras esa ejecución se va a desencadenar el uso de los privilegios administrativos.

Este modo viene a ayudar a esos casos en los que se tienen que administrar mucho una máquina. Dios sabrá porque extraños designios alguien con Windows 7 tiene que administrar masivamente su máquina todos los días. Por suerte no es mi caso, que yo la uso para trabajar y como no juego WOW me puedo permitir gastar esos 5 clics extras al día.


Configuraciones de los Modos UAC en Windows 7

Ataques al modo Windows 7

Conocido este funcionamiento desde las primeras versiones beta de Windows 7, era normal que aparecieran pruebas de concepto que aprovecharan esta característica para intentar elevar la ejecución de cualquier programa en cuanto salieron las versiones Beta.

Ataque 1: Desactivación de UAC

La primera prueba de concepto que salió iba directa al corazón de UAC, para ello, se simulaba a un usuario mediante el envío de eventos clic al interfaz gráfico, es decir, como si fuera un usuario, que, curiosamente, iba a la herramienta de configuración de UAC y desactivaba UAC. Al final, la herramienta de configuración de UAC era una herramienta de administración de Windows y UAC es una configuración del sistema, así que bastaba con simular a un humano, al más puro estilo Blade Runner, y deshabilitarlo. El resto es historia.

Por supuesto, para mitigar este fallo, en la versión final se decidió quitar la herramienta de configuración de UAC de la lista de herramientas administrativas a las que se permite elevación automática y subir el nivel de integridad de la herramienta para a Nivel Obligatorio Alto para que no pueda ser tocado por ningún programa que se ejecute en entorno de usuario.

Ataque 2: Ejecución privilegiada desde herramienta elevada

La segunda oleada de ataques se le viene a la mente a todo el mundo es utilizar los privilegios obtenidos por una herramienta para lanzar la ejecución forkeada de un nuevo proceso desde ella. Así, las ideas pasaron por simular a un humano abriendo el Administrador de Tareas y desde allí llamar, mediante la opción de Ejecutar Nueva Tarea, al troyanaco a elevar. En la versión final, se ha restringido este comportamiento y cuando se produce una llamada a una nueva herramientas se realiza con el token sin privilegios y sin elevación atuomática.

Controversia en el modo por defecto UAC en Windows 7

En el mundo de la seguridad, esta configuración causo mucha controversia, y seguirá generándola pues el riesgo está ahí. Por motivos de usabilidad, o de marketing , o de ventas o de lo que se quiera, el modo Windows 7 abre la puerta a una posible elevación automática. Mi recomendación es que sigas poniendo el UAC en su configuración más segura.

Ataques a los otros modos

Por supuesto, la configuración de UAC al modo Windows Vista reduce la posibilidad de ataque al ejemplo visto en la primera parte de esta serie. Sin embargo, la configuración de los otros modos (Millenium y XP) son más inseguros y, por lo tanto, no deberías configurarlo salvo para lo que existen, para casos muy puntuales en los que el uso de una aplicación heredada, por como esté diseñada, fuerce un volumen de avisos excesivo o, si estás en un entorno cerrado en el que no hay posibilidad de que entre ningún malware y el rendimiento es el parámetro a maximizar. Seguro que se te ocurren algunos entornos en que configurar esos modos, pero para el uso normal del sistema, por favor, evítalos.

************************************************************************************************
- Control de Cuentas de Usuario (I de VI)
- Control de Cuentas de Usuario (II de VI)
- Control de Cuentas de Usuario (III de VI)
- Control de Cuentas de Usuario (IV de VI)
- Control de Cuentas de Usuario (V de VI)
- Control de Cuentas de Usuario (VI de VI)
************************************************************************************************

lunes, diciembre 14, 2009

Hundir la Flota

Lo bueno de tener un hermano más o menos de tu misma edad es que puedes jugar con él a juegos en los que es necesario que sean dos personas. Bueno, hoy en día, con el ordenador esto no es tan así, pero cuando a mí me tocó ser un niño sí que vino bien. Uno de los jueguecitos a los que jugábamos era Hundir la Flota, ya sabéis, el famoso juego de los barquitos que se jugaba en clase con el compañero de al lado, pero a través de un sistema novedoso.

El que nos trajeron de regalo por unos Reyes Magos se llamaba “Hundir la Flota por Computadora” o algo así, y te permitía poner las coordenadas con unos botones y darle al lanzador de misiles. Sonaba el sonido de “fiiiiiiiiiiiiiiiu!!” y terminaba con un “Boomm” si acertabas o con un vacío si fallaba. No he conseguido ninguna foto de este juego en Internet, porque creo que no era el original, sino alguna copia.

Si alguien lo tiene que avise, porque tal vez esté confundiendo el nombre del juego. Recuerdo que era una única pieza horizontal en la que estaba tú tablero y el del contrincante a la que se pinchaba un tablero vertical para que se apuntaran los disparos realizados y que sirviera de protección visual. Era similar a éste, pero se veía más antiguo.

El caso es que me ha acordado de este juego porque en la última clase del master estuvimos hablando de los riesgos de los navegadores de Internet y de las medidas de seguridad que implementaban cada uno de ellos. Como quería tener todos los datos de los principales navegadores de Internet he decidido instalármelos todos en mi Windows7, que es más bueno que nada, y me permite que le haga todo este tipo de maldades.

Para comprobar las medidas de seguridad que aprovechaban de Windows 7 he usado Process Explorer, que creo el más famoso de los MVP de Seguridad de la historia, y he habilitado las columnas de las opciones de seguridad.

Las medidas que he comprobado son: Uso de DEP, Uso de ASLR, Nivel de Integridad en el que está funcionando y si corre virtualizado o no para evitar que el programa pueda acceder directamente a las carpetas del sistema y claves de registro protegidas. Estos son los resultados obtenidos con Process Explorer después de abrir todos los navegadores con tres páginas cada uno de ellos.


Process Explorer de todos los navegadores

Arquitectura: Safari, Opera y Firefox utilizan una arquitectura monolítica lo que hace que si falla una de las páginas cargada en una de las pestañas afecte a todo el navegador. Intener Explorer 8 y Google Chrome hacen uso de un proceso distinto por cada página cargada, con lo que si hay un fallo en una pestaña no afecta al resto. Así que le voy a dar un Maligno-punto a Internet Explorer 8 y otro Maligno-punto a Google Chrome. A los otros ni agua.

Niveles de Integridad: El uso de los niveles de integridad adecuado permite a los navegadores hacer un ajuste del Mínimo Privilegio Posible de todos los componentes. Así, cuanto menos niveles de privilegio tengan los procesos que renderizan las páginas visualizadas mejor que mejor, ya que ayuda a que si una es explotada, el atacante consiga más o menos privilegios. Los procesos que corren con nivel de integridad “Obligatorio medio” podrían acceder a los objetos que corren con nivel de integridad Obligatorio medio y Obligatorio bajo.

Los navegadores que tienen una arquitectura monolítica corren todos en nivel Obligatorio medio, así que no hacen uso de esta propiedad. Cero Maligno-puntos para Firefox, Safari y Opera. Google Chrome hace una cosa extraña ya que para abrir 3 pestaña ha abierto un proceso más que corre en nivel de integridad Obligatorio medio, pero, por lo demás parece hacerlo bien. Le voy a dar 1 Maligno punto a él y otro, por supuesto a Internet Explorer 8 que lo hace como debe de ser.

ASLR y DEP: Las protecciones Address Space Layout Randomization y Data Execution Prevention han sido aplicadas por todos los navegadores, lo que es una buena noticia. Les voy a dar 2 Maligno-puntos a todos los chicos.

Virtual Store: Sólo hacen uso de esta característica Internet Explorer 8, Safari y Opera. Nuestros amigos de Google Chrome y Firefox parece que prefieren no usar el Virtual Store del usuario para proteger al sistema. Así que 0 Maligno-puntos para Google Chrome y Firefox y 1 Maligno-punto para los demás.

El resultado de este Hundir la Flota Maligna queda como sigue:


Hall of Fame Maligno

Quiero recordar que ninguna de estas medidas es una bala de plata y que todas, de una forma u otra, tienen sus limitaciones pero sin embargo el uso combinado siguiendo el principio de Defensa en Profundidad ayuda a proteger el sistema.

Todas estas medidas ahondan en la protección del usuario que navega por Internet, pero hay muchas más con las que podríamos jugar como las políticas de seguridad para los componentes añadidos, las protecciones Anti-XSS, los filtros AntiPhising, la verificación de conexiones, el número de vulnerabilidades al año, el tiempo de parcheo, la gestión de actualizaciones o demás, pero esas… ¿Qué os parece si las dejamos para una segunda batalla a ver que nos sale de resultado?

Saludos Malignos!

UPDATE: Las fotos de Hundir la Flota por Computador con el que jugaba con mi "chache". ¡Gracias David por hacérselas a tu juego!


La caja del juego


El juego