Impresionante rendimiento de RouterOS v7 y BGP

Se está viralizando un video creado por los amigos de TheBrothers WISP, en donde están probando la versión v7 de RouterOS, mas precisamente la v7.0beta99.

El video muestra un CCR 1016 en donde tiene peering con 6 peer BGP, en donde maneja mas de 3.5 millones de rutas y le lleva alrededor de 3 minutos procesarlas. Se puede apreciar el buen rendimiento del nuevo motor de BGP que está preparando MikroTik, con soporte multicore.

A medida que van cargando las rutas, la carga del CPU se reparte en los cores y aunque llegan al 100%, puede procesarlas sin inconvenientes.

Habrá que esperar que es lo que nos depara MikroTik en esta nueva versión de RouterOS v7, que al parecer, el unicornio (como le llaman a la v7) ya esta apareciendo y ya está dejando de verse algo lejano.

Usas IPv6 con MikroTik RouterOS. Cuidado!

Hace un par de días se ha hecho público que existe una vulnerabilidad en MikroTik RouterOS, la CVE-2018-19298 (MikroTik IPv6 Neighbor Discovery Protocol exhaustion).

Mientras se realizaba una investigación sobre dicha vulnerabilidad, se encontraron con un gran números de problemas en cómo RouterOS maneja los paquetes IPv6. De esto se desprende la CVE-2018-19299, la cual aún no ha sido publicado y que aún no está solucionada.

Marek, un investigador de seguridad, ha publicado en su cuenta de Twitter, que le ha comunicado a MikroTik sobre dicha vulnerabilidad hace más de 50 semanas y que aún no se tiene una solución al respecto.

El gran problema que existe, es que el 9 de abril se realizará la UKNOF43, un forum de operadores de redes del Reino Unido y en dicho evento Marek expondrá y publicará un gran número de vulnerabilidades con respecto a IPv6 y RouterOS, de hecho el título de su presentación es “Scanning IPv6 Address Space… and the remote vulnerabilities it uncovers“.

During some research which found CVE-2018-19298 (MikroTik IPv6 Neighbor Discovery Protocol exhaustion), I uncovered a larger problem with MikroTik RouterOS’s handling of IPv6 packets. This led to CVE-2018-19299, an unpublished and as yet unfixed (despite almost one year elapsing since vendor acknowledgement) vulnerability in RouterOS which allows for remote, unauthenticated denial of service. Unpublished… until UKNOF 43!

https://indico.uknof.org.uk/event/46/contributions/667/

Me comunique con uno de los técnicos que está investigando el tema (que es trainer de MikroTik) y me comentó que es un gran problema, porque con un solo paquete IPv6 malformado se puede atacar a cualquier RouterOS con el paquete IPv6 activo, y más aún si trabaja como router, porque al recibir el paquete malformado, lo reenvía (forward) y se reinicia (crashea), logrando un ataque en cadena.

Esto no es un ataque de DDoS porque no se requiere un gran volumen de tráfico, con sólo un paquete malformado es posible realizar un ataque en cadena, reiniciando todos los routers que se encuentran en el camino (MikroTik RouterOS con IPv6 activo).

Cómo mencione anteriormente, el descubridor de estas vulnerabilidades se ha comunicado con MikroTik hace más de 1 año y aún no ha tenido otra respuesta mas que “lo arreglaremos“. Han sido publicada más de veinte release de RouterOS desde que MikroTik tiene conocimiento del problema y no ha sido corregido.

La cuenta regresiva ha comenzado, porque el 9 de Abril se harán públicas las vulnerabilidades y, si no ha sido corregida, puede armar un desastre a nivel global.

Hay un hilo en el foro de MikroTik en donde los usuarios están comentando del tema y exigiendo a MikroTik que tome cartas en el asunto y publiqué una solución antes de la fecha límite.

Estaré publicando cualquier novedad al respecto. Esperemos que todo salga bien.

UKNOF presentation where this issue will be disclosed in full: https://indico.uknof.org.uk/event/46/contributions/667/
CVE reporthttps://cve.mitre.org/cgi-bin/cvename.c … 2018-19299

Entrenamientos MikroTik MTCNA & MTCTCE en Río Cuarto, Argentina

Se impartirá en la ciudad de Río Cuarto, Argentina, las certificaciones MikroTik MTCNA y MTCTCE los días 18 al 20 y del 21 al 22 de Febrero, respectivamente.

La certificación MTCTCE -Security Edition- está enfocada principalmente en Seguridad, abordará temas como Firewall Avanzado, Protección contra DDoS, Sistemas de Prevención y Detección de Intrusos, etc.

Los lugares limitados. Promoción Combo y Pronto Pago.

Más información en Academia de Entrenamientos

MUM Argentina 2018: Utilizando RouterOS como IPS/IDS (II)

La semana pasada se realizó el MikroTik User Meeting en Buenos Aires, Argentina.

La verdad que la pase muy bien, me pude reencontrar con muchos amigos de todos lados. La ventaja que tiene este tipo de evento es que eso, el poder juntar en un solo lugar muchas personas del palo. 

Asistieron casi 500 personas de acuerdo a lo que comentaron los chicos de MikroTik, si bien hubo una gran afluencia en el lugar, hubo un déficit con la cantidad de expositores. Se tuvo que alargar el inicio del evento a las 10 de la mañana y finalizarlo a las 16 horas aproximadamente, debido a que faltaron expositores.

Esperemos que para la próxima se puedan animar a participar y que sobren presentaciones –como sucede en Brasil que dejaron fuera casi 20 presentadores porque estaban completos losslots time“-, así puede continuar con 2 días de duración, sino en un futuro serán de 1 solo dia los MUM en Argentina, como sucede en los países que tienen poca cantidad de oradores.

He consultado a varios que sé que tienen algo que compartir por su experiencia, él porqué no se animaban a dar alguna charla de algo que pueda servir a la comunidad o algunas buenas prácticas y la respuesta suele ser la misma; el miedo a que te pregunten algo y no saber qué responder. 

Mi respuesta para eso, es que no se viene a dar una clase o a que te tomen un examen, sino que se viene a compartir una experiencia en base a nuestro trabajo; que otras personas pueden haber resuelto de manera diferente lo mismo pero ese no es el punto, lo que importa es el compartir para poder difundir y de esa manera también tener retroalimentación escuchando otras vivencias.

En fin, esperemos que para la próxima se animen más.

Les dejo a continuación el PDF con la charla que di sobre “Utilizando RouterOS como IPS/IDS (II)“, la cual es la continuación de la presentación que dí en el MUM de Paraguay en el 2017.

En los próximos días estaré agregando el video de la presentación cuando esté disponible.

MUM ARGENTINA 2018 – Utilizando RouterOS como IPS / IDS (II)

 

 

Reporte de Avast: Campaña de criptomoneda vulnerando MikroTik

La empresa de seguridad / antivirus Avast ha publicado un reporte que habla de MikroTik y de la manera que fueron explotadas las vulnerabilidades del Sistema Operativo para poder hacer minería.

Según el reporte hasta el 15 de Octubre, Avast bloqueo unas 22 millones peticiones para la campaña de minería JS:InfectedMikroTik.

mikrotik-router-attacks-blocked-by-avast

En el ranking tenemos a Brasil y Polonia como los países con más infectados, le siguen Indonesia y Argentina.

El informe es muy completo y detallado, en donde podemos conocer la manera que fue expandiéndose e infectando a los usuarios. 

Vale la pena leerlo y conocer más al detalle la situación de seguridad.

Entrenamientos MTCNA & MTCRE en Buenos, Aires. Previo al MUM

Durante la primer semana de noviembre se realizará en las oficinas de CABASE, el dictado de las certificaciones MTCNA y MTCRE; días previos al MikroTik User Meeting Argentina.

El MTCNA del 6 al 8 y el MTCRE del 12 al 13 de Noviembre. 

Promoción Pronto Pago!. Últimos Cupos.

Mas información en Academia De Entrenamientos

Nuevas variantes de ataque a MikroTik RouterOS vulnerables

En estos últimos meses se han producido diferentes tipo de ataques que se aprovechan de algunas vulnerabilidades del RouterOS y que están haciendo estragos a nivel seguridad.

Varios son los tipos de exploit / ataques que se tienen, de los más extendidos son los que se aprovechan del acceso al router para hacer minería. La forma de trabajar es redireccionando la navegación al webproxy interno del MikroTik y éste a su vez inyecte cierto código en la página web que “ordene” a nuestro dispositivo a realizar minería via Coinhive, Coinimp entre otros.

Ejemplo de código inyectado.

Un monitoreo de Bad Packets LLC utilizando datos de Shodan y Censys encontró que hay de más 250.000 routers MikroTik comprometidos.

Otra metodología que está empleando es la de engañar al usuario indicando que se tiene un navegador (browser) desactualizado y lo invita a descargar la actualización. Dicha descarga es un archivo ejecutable que compromete nuestra pc. 

Al día de hoy (12 de Octubre) a través de las estadísticas de Censys hay alrededor de 11.000 routers MikroTik comprometidos con la página “fake” de descarga del actualizador del browser.

Es increíble la cantidad de dispositivos que están desprotegidos y es por eso que un “hacker bueno” de Rusia está tomando cartas en el asunto y está realizando una campaña para proteger los routers que se encuentran comprometidos para evitar que se sigan atacando.

Según lo que ha comentado en la entrevista realizada por ZDNet, este amigo ha protegido cerca de 100.000 usuarios. Al momento de ingresarles les deja unas reglas de firewall indicando que “se han agregado reglas de protección para evitar el acceso externo y que si desea realizar algún comentario se comunique vía el canal de Telegram @router_os”; pero solamente se contactaron 50 personas.

Cómo hemos mencionado, este tipo de ataque se realiza explotando una vulnerabilidad que ha sido solucionada en MikroTik desde hace meses. El problema que se ha presentado y en el que  se deberá trabajar para evitar algo similar en el futuro, es que empresas que venden routers o administradores que descuidan los mismos, no toman precaución de actualizar el sistema operativo de los dispositivos para evitar este tipo de ataque.

Se puede utilizar el sitio http://checkmyrouter.mkesolutions.net para conocer si nuestro router es vulnerable y es mandatorio actualizarle el sistema operativo.

Más información en BadPackets, Malwarebytes y RedesZone.

Múltiples vulnerabilidades detectadas en MikroTik RouterOS

Durante este último mes se ha vivido una situación muy poco frecuente, por no decir que es la primera, en la que se tiene una gran actividad en relación a MikroTik RouterOS.

La popularidad que ha alcanzado ha hecho que se vuelva objetivo de ataques e ingeniería inversa para explotar algunas vulnerabilidades que se han descubierto durante este último tiempo.

El mayor problema de esta situación es que algunas de las vulnerabilidades permiten tener acceso al router directamente, ya que se pueden obtener las credenciales del router a través de un bug en el Winbox, por ejemplo.

Este inconveniente se agregó en la v6.29 y se soluciona en la v6.40.8. Hay que mencionar que la versión con el arreglo fue liberada a principios de año y ha sido explotada en estos últimos 2 meses.

En el día de ayer también hubo una publicación del RouterOS en sus diferentes ramas y en el changelog se mencionan arreglos de seguridad:

!) security – fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159;

Estas vulnerabilidades CVE fueron reportadas por Tenable Inc. Según el reporte oficial de la empresa, las vulnerabilidades fueron reportadas a MikroTik el 25 de Mayo del 2018 y el 6 de Junio MikroTik le confirma la vulnerabilidad. 

Acá va el timeline reportado por Tenable:

05-25-2018 - Tenable contacted Mikrotik support to find an appropriate security contact.
05-29-2018 - Tenable sent a follow up email to Mikrotik support.
05-29-2018 - Mikrotik responds that support is the appropriate contact.
05-29-2018 - Tenable asks for a public key.
05-29-2018 - Mikrotik provides a public key.
05-29-2018 - Tenable provides a write up and four proof of concepts.
05-31-2018 - Tenable asks Mikrotik if they were able to verify the vulnerabilities.
06-01-2018 - Mikrotik confirms they were able to reproduce the vulnerabilities.
06-19-2018 - Tenable inquires if any fixes went into a recent release (6.42.4).
07-25-2018 - Tenable asks for an update.
08-22-2018 - Mikrotik asks if Tenable allocated CVE ID for the vulnerabilities. Informs Tenable fixes were released in 6.40.9, 6.42.7, and 6.43.
08-22-2018 - Tenable provides CVE ID.

Cómo se puede observar, llevo un tiempo desde que se confirmó la vulnerabilidad hasta que se emitió el release con el arreglo. 

Algo bueno, si se quiere ver, es que al no haber sido publica la información, no ha sido explotada.

Cómo comente anteriormente, el release fue liberado ayer y esperemos que los administradores de redes actualicen de manera expedita el sistema operativo para no sufrir ataques en un futuro.

Lo que la experiencia demuestra que es necesario estar actualizado con respecto a los cambios y arreglos que se producen en los sistemas operativos, ya que si no se actualizan, pueden ser explotado masivamente como la vulnerabilidad del Winbox, que llegó a infectar más de 200 mil routers sólo en Brasil.

Mas información en el blog de MikroTik y en el reporte oficial de Tenable.

Herramienta para detectar MikroTik RouterOS Vulnerables

Desde hace unos días el ataque tipo bot, de RouterOS que no han sido actualizados, se ha expandido.

Desde MKE Solutions estamos trabajando para ayudar a la comunidad a conocer si su router esta vulnerable, por lo que hemos puesto a disposición una herramienta para chequearlo.

http://checkmyrouter.mkesolutions.net

Con dicha herramienta se podrá conocer si el ataque es posible al router, pero no mostrará información sensible que luego pueda ser utilizada con malas intenciones.

Se agradece, en caso que se aprecie la utilidad de la herramienta, una donación por ayudar a la causa 😉

 


Empezando a jugar con la Bolsa, Acciones y Forex

Hace un par de meses que vengo aprendiendo cómo invertir en la Bolsa, comprar acciones, divisas, criptomonedas y demás.

Soy un completo novato en el tema pero de a poco me voy animando a involucrarme mas y realizando las primeras operaciones reales.

Es un tema bastante delicado porque por un descuido, por ignorancia o por lo que fuese, se puede  perder en un par de horas todo el capital que se tenga invertido; es necesario tener un poco de formación para saber lo que se está haciendo y tratar de minimizar los riesgos.

Hay un lindo video que dice que el 90% de los inversores pierden su dinero en los primeros 90 días de invertir en la bolsa por desconocimiento, por miedo o por comprar caro y vender barato entre algunos motivos.

En relación a invertir, prefiero hacerlo en la Bolsa de New York (NYSE) y en sus indices, porque el Merval (Bolsa de Argentina) es extremadamente volátil e impredecible (en el tiempo que la estuve estudiando), por lo que prefiero hacerlo con las empresas más sólidas que encuentro.

Hay varias estrategias, una de ellas es a corto plazo y otra a largo plazo; todo depende en cierta manera del riesgo que uno quiera tener.

A Largo Plazo puede ser comprar acciones de Netflix (NFLX), Google (GOOGL), Facebook (FB), Microsoft (MSFT) entre algunas, que son empresas sólidas y de seguro tendrán rentabilidad (por lo general, el que haya tenido rentabilidad en el pasado, no significa que lo tenga en el futuro, pero tienden a hacerlo) .

A Corto Plazo ya es comprar y vender de manera especulativa, a través de comentarios, anuncios, noticias, etc; es mas riesgosa pero tiene un retorno mayor a corto plazo.

La plataforma que estoy utilizando para operar es eToro, la cual es bien conocida y tengo conocidos/colegas que operan con ella desde hace años y no han tenido ningún inconveniente. Esta regulada y controlada, como la mayoría de los brokers, por las entidades de su país de procedencia; en el caso de eToro es Chipre / Unión Europea quién la regula. También tiene sede en Londres pero es algo que no tiene al caso, que Googleando se puede encontrar muchas información y comentarios respecto de la empresa.

Su plataforma es una red social de las inversiones, es símil a Facebook sólo que enfocado a las finanzas; se tiene un muro para publicar, se puede seguir a alguien y entablar contacto con otro usuario de la red.

Se puede invertir en Acciones, Divisas, Criptomonedas, Comodities, etc. Tiene un costo de comisión por cada operación baja en comparación con otras plataformas, lo cual permite trabajar a corto plazo sin un costo alto por colocar las operaciones.

Lo bueno que tiene es la opción de CopyFunds y Copiar Portfolio de personas, ambas son excelentes opciones para poder invertir sin tener conocimientos avanzados del tema; paso a comentarlos:

CopyFunds:

CopyFunds es un producto de gestión de portfolio que copia automáticamente a varios mercados o inversores en base a una inversión predeterminada. Tienen diferentes niveles de riesgo cada una de ellas, por ejemplo la CryptoFund es una opción de criptomonedas que al momento de escribir el articulo tiene un beneficio del 131% anual, que esta muy bien, pero es muy riesgosa y volátil, como toda criptomoneda.

Otra que hay es OutSmartNSDQ que es una opción que combina el aprendizaje automático de las acciones que toman las masas (operadores y brokers) en base al indice Nasdaq100 y busca las 15 acciones que mejor cotizan en base al algoritmo de la aplicación. Al momento de escribir el articulo tiene un beneficio del 50% anual.

Existen muchos mas, pero esto dos mencionados dan idea el abanico que se puede tener para invertir y sus niveles de riesgos.

Copiar Portfolios de Personas:

Esta es otra opción genial porque te permite copiar las inversiones que realizan otras personas. Hay que saber elegir a quien se copia,  porque una mala elección que realice la persona puede hacerte perder todo el capital invertido.

Hay miles de personas para seguir, cada una tiene estadísticas de beneficios y riegos. Lo importante es elegir a personas que tienen un historial positivo y principalmente que conozcan del tema.

Una de las persona que yo sigo, es un programador de aplicaciones de finanzas que trabaja en una empresa de Londres. En su perfil explica que para poder programar la aplicación tuvo que aprender mucho de operaciones, bolsas, divisas entre algunos items y que ese conocimiento lo viene utilizando desde hace un par de años para invertir y no le ha ido nada mal, porque tiene un rinde en el 2016 del 110%, 2017 540%  y en lo que va del 2018 unos 22%; tiene cientos de copiadores y dan buenos comentarios en cuanto a los movimientos que realiza este inversor.

Lo bueno que tiene la plataforma, que si la persona tiene muchos copiadores, empieza a recibir pagos por ellos, lo que hace es estimular a la persona a tener una buena estrategia, porque mientras mayor beneficio tenga, mayores copiadores tendrá y así serán los pagos adicionales que recibirá.

Para quienes quieran iniciar a operar, eToro te permite crear una cuenta virtual con USD 100.000 para jugar a invertir así se va tomando experiencia para luego hacerlo real.

Al momento de hacerlo real, hay que agregarles fondos a la cuenta. Las opciones para Argentina están complicadas porque ni Visa (tarjetas), ni PayPal se pueden utilizar desde acá. Pregunté en ambas empresas y me comentan que es por disposición gubernamental, por lo que la opción mas simple es hacer una transferencia bancaria internacional, que al cabo de un par de días ya se tiene el dinero disponible para operar.

Si desean abrir una cuenta, les paso el enlace de mi referido. El programa referido permite invitar amigos y por cada uno de ellos que haga una apertura de cuenta y la fondee, ambos reciben una paga de USD 100. Por lo que si estas utilizando mi enlace referido, ambos saldremos ganando.

Voy a ir comentando de a poco mi experiencia sobre las inversiones, un tema que me esta gustando  cada vez mas.