Archivos de Categoría: General

Wikileaks, la CIA y la seguridad

El día 7 de Marzo Wikileaks publico una serie de documentos en donde menciona diferentes herramientas que fueron creadas por la CIA que permite acceder a diferentes sistemas operativos como Windows, MacOS, Linux Solaris, MikroTik RouterOS entre otros.

En el caso de MikroTik, la vulnerabilidad viene por el servicio HTTPD el cual permite al exploit “ChimayRed” que pueda inyectar código malicioso al RouterOS.

Hasta que Mikrotik brindó su comunicado oficial, lo que recomendaba era cerrar el puerto del servicio www, generalmente en el 80, con firewall para que solo pueda ser accedido de redes confiables.

Luego de un par de horas, MikroTik publico su versión oficial del hecho, en donde comenta que están investigando el caso y que con la información que puso a disponibilidad Wikileaks logro aplicar un arreglo para paliar la supuesta vulnerabilidad encontrada, -que por cierto según el informe de Wikileaks solo afecta a las versiones anteriores a la v6.30.2-, y dicho arreglo verifica y restaura la estructura interna de los archivos y fue aplicado en las versiones v6.38.5 y v6.37.5 con el siguiente fix:

*) filesystem – implemented procedures to verify and restore internal file structure integrity upon upgrading;

La respuesta de MikroTik a la incidencia fue muy rápida en relación a otros vendors que si bien aún no han anunciado el arreglo, si han publicado diferentes documentos sobre sus investigaciones. El que me llamó la atención fue al nivel de detalle que brindo Cisco, en donde en su reporte informa que:

De acuerdo al análisis preliminar de acuerdo a los documentos publicados se tiene:

  • El malware existe y parece afectar a diferentes tipos de dispositivos de Cisco, entre ellos routers y switches.
  • El malware una vez instalado en el dispositivo Cisco, parece proveer un rango de funcionalidades como ser: data logging, data exfiltration, ejecutar comandos con privilegios administrativos y sin dejar ningún registro de dichos comandos ejecutados), html traffic redirection, manipulation and moficitation (insertar código html), DNS posoning, etc.
  • Los autores parecen haber gastado una gran cantidad de tiempo asegurando que las herramientas, una vez instaladas, intenten mantenerse ocultas a la detección y análisis forenses.
  • Los autores han gastado gran cantidad de recursos en la calidad de los testeos, ya que una vez instalado el malware no causan crash en el sistema.

Como se puede apreciar, uno de los principales objetivos de este “ataque de la CIA” fue Cisco y puede leerse en el Wikileaks relacionado.

Algunos usuarios de los foros indican que los tiempos de actualización y parche de Cisco ante este tipo de eventos suele ser tardía y que quienes tienen acceso a ellas a tiempo son principalmente los que tienen el soporte pago, a diferencia de MikroTik que ha publicado rápidamente para todo el mundo su parche.

En fin, son diferentes posturas subjetivas de los usuarios, lo cierto es que ha habido una movida general de los involucrados para tomar alguna medida correctiva a este malware que complica la seguridad de todo el mundo.

MKE Solutions Certificada en ISO 9001:2015

Ya quedó confirmado oficialmente, MKE Solutions ha certificado bajo Norma Internacional de Calidad ISO 9001:2015 su Soporte IT y los entrenamientos MikroTik y Ubiquiti.

Este anunció me llena de orgullo porque ha sido un gran logro conseguido y un objetivo alcanzado por parte de quienes hacemos MKE Solutions. Luego de casi 2 años de implementar un Sistema de Gestión de Calidad en la empresa, hemos conseguido certificarlo en ISO 9001.

Esto nos convierte en el primer y único Training Center del mundo en certificar sus entrenamientos bajo norma de calidad y nos enorgullece mucho.

Ha sido un logro del equipo que conformamos MKE Solutions, ya que cada uno aportó su granito de arena para poder llegar al objetivo.

Un nuevo hito logrado, un paso mas en el camino. Se hace camino al andar.

MUM Guatemala 2017: Suricata y FastNetMon

Hace un par de semanas se celebraron los primeros MUM -MikroTik User Meeting- del año, ésta vez fue en Ciudad de Guatemala y Bogotá.

Pude brindar mi presentación (charla) en el MUM de Guatemala (que dicho sea de paso, fue el día de mi cumpleaños), que hablé de como implementar un sistema de protección de ataque DDoS y un IPS / IDS con Suricata.

La verdad que la repercusión que tuvo mi charla fue mayor a lo que esperaba, he tenido contactos de usuarios de varios países que me felicitaban por la presentación y aportaron algunos consejos o sugerencias para que pueda mejorar la charla en un futuro.

Me enfoque principalmente en como utilizar Suricata para poder detectar intrusiones a través de las alertas de la aplicación y luego poder tomar alguna acción con dicha intrusión.

También hable de FastNetMon, de cómo protegerse de ataques DDoS y como podemos interactuar a través de un API con RouterOS para poder bloquear dicho ataque.

Creo que la repercusión de la charla fue debido a que Pavel, el creador de FastNetMon, twitteo mi charla y de ahi sus seguidores hicieron sus comentarios.

Pueden descargar el PDF de la presentación desde el siguiente enlace.

En un futuro escribiré como utilizar Suricata como IPS con RouterOS a través de un módulo que programé para automatizar la tarea.

Sugerencias y comentarios son bienvenidos.

Bienvenido 2017…

Ya comenzó el 2017 y pasó mucho tiempo desde la última vez que escribí algo. Este inicio de año largo con todo, estuve por los MUMs de Guatemala y Bogotá durante la semana pasada y aún no logro ponerme al día.

Durante estos MUMs pude encontrarme con muchos amigos y conocidos “del palo”  y la pasamos muy bien. Pude conocer también gente de Bangladesh que no tiene nada que ver con el rubro y poder compartir un buen intercambio cultural.

Tuve la suerte de pasar el día de mi cumpleaños en el MUM de Guatemala y también tuve la suerte de ganarme un router de regalo en la rifa final del evento. La pase muy bien.

A nivel de proyectos tengo varios, uno de ellos es iniciar con los entrenamientos de IPv6. MikroTik ya tiene disponible desde hace unos meses atrás la certificación y uno de los objetivos es que en poco tiempo poder iniciar a impartir estas certificaciones.

Estoy trabajando también en una implementación de IPS para Suricata que permita trabajar con el MikroTik directamente. La idea es que haya un agente que este monitoreando las alertas del Suricata y en caso de detectar algún tipo de ataque en particular, poder bloquearlo al IP directamente desde el MikroTik.

La idea es tenerlo listo para la semana que viene y escribiré, si el tiempo lo permite, un post especial para que pueda ser implementado.

Espero este sea un post que haga el puntapié inicial para poder incorporar actividad a este blog.

FastNetMon: Detectando y protegiéndonos de ataques DDoS

Uno de los gajes del oficio del networking y en especial de los ISP son los ataques de Denegación de Servicio Distribuida DDoS.

Hay varias maneras de protegerse, las mejores o con mas opciones son pagas y con elevados costos de licenciamiento. Un proyecto OpenSource (GNU GPLv2) que lo inicio un amigo de Rusia (Pavel Odintsov) llamado FastNetMon es una buena opción como alternativa gratuita.

FastNetMon es un analizador de tráfico y permite detectar ataques DDoS en 2 segundos. Soporta NetFlow v5, v9. IPFIX, sFLOW v4, v5 y Port Mirror/SPAN.

Se puede detectar tráfico malicioso en la red e inmediatamente bloquear el IP con BGP Blackhole o aplicándole alguna política al IP tanto atacante como atacado. Soporta BGPv4, BGP flow spec (RFC 5575). Tiene compatibilidad con Cisco, Juniper, A10 Networks, Extreme, Brocade y MikroTik.

La integración es simple, ya que no requiere ningún cambio en la topología de la red.

Al proyecto que se encuentra alojado en GitHub, le han realizado cientos de aportes diversos programadores del mundo, haciendo hoy día una solución para detección de ataques interesante.

Mi aporte al proyecto fue la integración con MikroTik RouterOS a través de la API, pudiendo tomar cualquier acción en contramedida de un ataque DDoS.

Hoy en día se está utilizando en grandes redes, de hecho en el sitio web hay una sección de testimonios en donde empresas como ZenDesk, Tranquilhosting entre otros comentan de que manera le ha ayudado.

Pueden encontrar mas información en el sitio oficial de FastNetMon.

Retomando el blog…

Ha pasado mucho tiempo desde la última vez que postee y el motivo del descuido tanto de mi blog como de las redes sociales se debe a los nuevos proyectos que he iniciado y me consume mucho tiempo.

En estos momento me encuentro con varios proyectos en desarrollo, uno de ellos es FastNetMon, un sistema de detección y protección contra ataques DDoS utilizando Netflow. Este proyecto de código abierto (GNU GPLv2) permite detectar lo mencionado anteriormente; mi aporte al proyecto es la integración con MikroTik RouterOS para tomar las medidas de protección contra los ataques.

La participación de este proyecto me ha gustado mucho, ya que el mismo fue desarrollado por un amigo de Rusia y ha tenido luego el aporte de varios programadores del mundo y que están haciendo de este proyecto un producto interesante. De hecho una empresa de USA se conecto hace poco conmigo porque le gusto la integración que hice del proyecto con MikroTik y querían que le brinde un apoyo para integrar su solución con RouterOS.

En un futuro cercano, aunque no se a ciencia cierta cuando, estaré publicando información del proyecto y como realizar su integración MikroTik; porque estoy seguro que será de utilidad para todo el mundo que este en networking.

Otro proyecto en donde me encuentro participando es de un “monitor de red”, si bien hay muchas soluciones en el mercado, no he encontrado ninguna que brinde una serie de reportes y medidas que permitan a cualquier ISP saber el estado en que se encuentra su red (principalmente inalámbrica) y luego tomar medidas en caso que hayan falencias o clientes que sean perjudiciales a la red (ej, clientes con bajo SNR).

Otra funcionalidad de este monitor, es detectar host nuevo en la red o MAC address clonadas o con inconsistencia y reportarlas. No voy a ahondar mucho en esto, porque quiero tenerlo mas avanzado y maduro, para luego comentar sus bondades.

Adicional a mi dedicación a los proyectos de I+D, también estoy participando de la organización de la SEMANA TIC, un evento que se realiza un vez por año en la provincia de Córdoba y que permite fomentar las TICs y los proyectos relacionados. Este año se realizará en la semana del 19 de Septiembre (en toda la provincia de Córdoba) y la apertura será en la cuidad de Rio Cuarto.

Lo anterior se suma, que por mi trabajo tengo que viajar fuera de la ciudad bastante seguido y hace que el tiempo que tengo disponible lo destine a los proyectos y principalmente a la familia; hace un par de años atrás tenía disponibilidad de tiempo para algunas tareas, pero desde que soy papá, me han cambiado mis prioridades y todo lo que sea ocioso lo he dejado a ultimo plano.

También he dejado de utilizar las redes sociales como Facebook, ya que me di cuenta el mucho tiempo que me consumía y me distraía; ese tiempo lo intento aprovechar para mis tareas y dejar lo restante para estar con mis seres queridos, algo que había abandonado un poco.

Este blog no ha sido ajeno a esta reestructuración del tiempo, pero de a poco le voy a ir agregando contenido al mismo. Como siempre digo, este blog me ha brindado muchos amigos y colegas, que me han comentado que les ha servido y me agradecen el haber compartido el conocimiento, algo que me llena de satisfacción.

En fin, la vida de un emprendedor, programador, papá y demás actividades que se tienen no es sencilla y hay que saber aprovechar el tiempo disponible, algo que de a poco estoy tratando de administrar de la mejor manera.

Bloqueando WhatsApp con MikroTik

Son muchos los entornos en donde se necesita bloquear las redes sociales, ya sea por seguridad o para evitar el ocio.

WhatsApp es una de las aplicaciones que se suele bloquear y hay varias maneras para hacerla.

La primera de ellas es hacer una entrada estática de DNS para c.whatsapp.com que es la que se utiliza para conectarse, dicha entrada puede tener 127.0.0.1 por ej.

La otra opción es por firewall evitando que se conecten a las redes que utiliza whatapps, para ello tenemos el listado de IP oficiales de este sistema de mensajería, tanto en IPv4 como IPv6.

Para acceder a dicho listado de redes hay que ingresar en https://www.whatsapp.com/cidr.txt

12 Añitos de blogging

El 1 de Marzo este blog cumplió otro añito mas de vida y llegó a la suma de 12 años; un gran número!

Feliz cumpleblog, a mi descuidado pero querido blog,

Adíos a Copy.com

El servicio que utilizaba para realizar mis backups personales llamado Copy.com, una división de Barracuda, del cual hable hace un tiempo, ha decidido cesar con sus servicios.

Según el comunicado oficial, van a dejar de brindar acceso a los archivos almacenados a partir del 1 de Mayo del 2016.

Han realizado un pequeño manual de como realizar la migración de los archivos hacia otro servicio Cloud de almacenamiento como DropBox, BoxGDrive, etc.

Según indican, fue una decisión muy dura pero la tomaron para poder dedicarse y enfocarse a otros proyectos.

Es una lastima, porque el servicio era muy bueno, rápido y sobre todo que te daba 25GB de almacenamiento con la cuenta free.

Ahora estoy migrando todos mis archivos a DropBox, pero lo que lamento es que voy a perder el backup que hacia en Copy.com de mis servidores de manera automatizada; para ello deberé buscar alguna nueva alternativa.

Mas info: Copy.com

hidden-tear: un ransomware open source

Hace unos días mi amigo Gabriel de SerInformatica me paso un enlace de un proyecto muy interesante, es un ransomware que tiene muchas funcionalidades.

No es que quiera hacer apología de esto, pero me pareció interesante el código y la manera que funciona esta herramienta. Como se sabe un ransomware es un aplicación que encripta los archivos de un sistema y luego para desencriptar esa información se requiere una llave.

Lo interesante de esto son las funcionalidades que se puede lograr tener. Creo que la mas interesantes es la de poder saltarse los principales antivirus y su pequeño tamaño.

Se puede ver mas información de la aplicación en el proyecto de GitHub y allí mismo ahondar en detalles interesantísimos que dispone.

La misma tiene un aviso legal que el mismo está destinado para propósitos de educación.

hidden-tear

Página 1 de 3212345...102030...Última »