DaboBlog

Disclaimer:

Este post puede considerarse como un acto de promoción dado que soy parte “interesada” o directamente implicada por mi participación en los casos que comento. Ante las (lógicas) posibles dudas, vamos a apelar a aquello de “pásate por ejemplo” por daboweb.com que en breve cumple 10 años y sólo verás un lugar más de ayuda informática, totalmente desinteresado, sin publicidad y hecho por amigos, no colaboradores, amigos, reitero, por y para la comunidad, aprovecho la ocasión para mandar un saludo a mis compañeros de Caborian.

Además, son más cinco años junto a vosotros por aquí en DaboBlog como para que os venga a contar películas en formato TS Screener (recuerda, descarga, pero con calidad).

¿Por qué esta entrada? Y tan tarde…

Bueno, era algo que tenía pendiente, a pesar de que intento conservar cierta actividad en las webs que promuevo o participo, colaborar con el podcast de mi amigo Dani, con el que he grabado unos audios sobre seguridad Wifi y seguridad en dispositivos móviles “para todos los públicos” (por cierto, sobre DaboBlog Podcast, pronto sacaremos un nuevo episodio, o eso espero;), como os decía, es frustrante por ejemplo, abrir Twitter y no poder leeros como me gustaría, no devolver todo el feedback que llega, dejar de publicar aquí con mayor regularidad o en Daboweb, DebianHackers, etc, pero uno da hasta donde da y tiene sus limitaciones. Acabo de ver que mi último post es del día 18 de Enero, día del famoso “Blockout“.

Situación actual.

Actualmente me encuentro inmerso entre una marea de cursos que estoy impartiendo (dentro de las actividades que llevo a cabo desde davidhernandez.es) y otra marea, pero en este caso, con APACHEctl.com junto a mis compañeros. Hablo de mareas de bytes, servidores web, auditorías de seguridad, terminales, intervenciones de urgencia, etc y todos los problemas a los que se puede enfrentar un autónomo en una época como esta, además de un proyecto en común que va gestándose con paso firme y a ritmo suave con Emma Fernández, buscando una diversificación en base a ciertos servicios que demandan algunos clientes.

Servidores y aplicaciones web, usuarios, condicionantes…

Y de mi actividad principal quería hablaros, servidores, seguridad, clientes, SysAdmins y algún ISP que en lugar de “Internet Service Provider“, bien podría ser un acrónimo de “Internet Sopla Pollas“. Sí, de varios hechos que he podido comprobar con mis propios ojos, algunos adelantados en medio de sensaciones entre el cabreo o la falta de comprensión por mi parte y…ciertamente hacen falta más de 140 caracteres para expresarlo. Eso sí, 140 caracteres son pocos, pero aunque tampoco quiero abusar de vuestro limitado tiempo en medio de una multitarea cada vez más acuciante, reconoceréis que a casi un post por mes, tengo que exprimir un poco el teclado ;)

Partamos de la base de que no siempre se puede actualizar como te gustaría o querría el cliente, existen ciertas dependencias entre algunas aplicaciones web, versiones del S.O, entornos de producción que no se pueden parar (de todo esto hablamos Sergio Hernando y yo en el “Especial Seguridad“) y situaciones en las que hay limitaciones tanto técnicas, comerciales o administrativas que impiden un estado ideal de algunos sistemas web en producción. Me tranquiliza en lo personal, saber que en ninguno de estos casos se den esas circunstancias.

Por otro lado, si alguien que trabaje en seguridad o sistemas no entiende que bajo ciertas condiciones, su infraestructura puede ser comprometida, debería pensar en cambiar de trabajo porque cuando viene un cliente buscando que le vendas una utopía, o veo en algún sitio web eso de “garantizamos al 100 % tu seguridad” me quedo alucinado o pienso ¡Qué envidia, si yo pudiera…!

A dos días de terminar de impartir un curso sobre SGSI, LOPD, LSSICE y todas las implicaciones y embrollos legales que se pueden dar cuando manejas datos de terceros, (aprovecho para saludar a esos 14 alumnos con los que tanto aprendo;), cada vez me doy cuenta de que en la solidez de la gestión de la seguridad entran en escena tantos protagonistas (ISP, Webmaster, sofware instalado, usuarios, SysAdmin, etc) que controlar todas esas variables al 100 % es prácticamente imposible, os recomiendo (sobre el factor humano) esta entrada “Por qué falla la seguridad” de los colegas de Security By Default.

¿Por qué? las acciones realizadas por personas a nivel individual influyen en tu trabajo y puedes preveer una actuación en concreto, pero no cambiar ciertas condiciones o costumbres del ser humano. De ahí que sea tan importante un “plan B” y sobre todo hacer que el “plan A” se vaya al carajo para ver cuánto tiempo tardas en poner en marcha ese “plan B” y dar por hecho que puedes encontrarte con el peor de los escenarios posibles.

Si lo ves o planificas de ese modo, no estarás poniéndote vendas en los ojos que acabarán seguramente provocándote una “ceguera operativa” cuando el escenario ideal se convierta en la peor de tus pesadillas, o la de tu cliente, si cuando contacta contigo y está siendo víctima de una fuga de información o ataque a sus sistemas, las cosas no van como debieran. Aún así, sé consciente siempre de tus limitaciones o carencias, e intenta aprender y aprovechar tus puntos fuertes, pero sin dejar de trabajar la parte que menos controlas o te gusta, para conseguir un mayor equilibrio. Créeme, hay gente “ahí fuera” que sabe mucho más de los que están (o estamos) a veces en un plano “mediático” (eventos, reseñas, referencias) en el que se vende mucho humo y prevalecen los conceptos en lugar de las realidades.

De servidores web bajo Debian Etch que jamás se han actualizado.

Con este (sub) título no debería extenderme mucho. Hablamos de una empresa que me contrató para impartir unas clases sobre administración de servidores web bajo GNU/Linux. Dicho cliente (de Asturias) tenía contratado un servidor dedicado con un proveedor local, no daré nombres ya que aún mantiene una relación contractual y no seré yo quien promueva más malas artes por su parte, pero tampoco seré quien recomiende sus servicios, quizás hasta me lean, seguro que se ven “retratados” por lo de MaxClients 40  TimeOut = 300. Sólo diré que son una empresa Asturiana de Hosting (a buen entendedor…).

En el curso, a modo de ejercicio, fuimos creando paso a paso un servidor GLAMP y llegado el momento, se migraron algunos dominios a su máquina, en ese momento es cuando accedí al servidor dedicado contratado con esa empresa. Ya cuando hice un barrido rápido con Nmap lo vi claro pero…cuando haces un uname -a , cat /etc/debian_version o miras el source.list, puedes quedarte K.O.

El que el cliente tuviese una distribución de Debian de hace 5 años que ya no tiene actualizaciones desde finales de 2010 (ojo con Debian Lenny que desde hace unos días ya no recibirá actualizaciones de seguridad !!) puede considerarse bastante fuerte con unas 20 webs en producción. Pero…¿Cómo se queda uno si ve que la salida de tail /var/log/aptitude es = 0? WTF. Si, hay que joderse y “joder” al prójimo, jamás se había actualizado, no daba crédito y tras varias comprobaciones pude ver que era así de crudo y duro. En un primer momento pensé que había un problema con los logs, fue tan fácil como ir tecleando apache2ctl -V, mysql -v, etc, para ver que eran las versiones originales según venían en Debian 4.

Ahora bien, el listillo jamás había metido un update pero ojo, sí que había tenido tiempo para poner en el apache2.conf la directiva “maxclients” en 40. Todo ello con un “bonito” TimeOut de 300 seg, sí amigos, ¿el motivo? piensa mal y acertarás, claro, para ahorrar ancho de banda en su CPD…Limita a 40 conexiones o IPs diferentes en cada máquina y de ese modo, paga menos a su proveedor. Pero hay que ser malo o tener “mala fe” (vi el history y controlar, controlan) para dejar en 300 seg el TimeOut cuando sabes que si hay 40 IPs diferentes conectadas, hasta que se cierre una conexión de Apache que quede inactiva y dé paso a la 41, pasarán la friolera de 300 segundos, luego el cliente, ya se dio cuenta del motivo por el cual a veces le llamaban con eso de “es que me dicen que no se puede entrar a mi web”.

De servers con CentOS, un Cpanel sin actualizar y 3 joomlas crackeados.

Uno de los primeros síntomas por los cuales el cliente se da cuenta de que tiene un problema en su servidor, es en el momento que empiezan a venir e-mails rebotados o marcados como spam y entras en alguna (o varias) de las “blacklists” (o listas negras) habidas y por haber. Esa actividad inusual de envíos de correos desde el localhost, sin estar asociados a ningún dominio, ya es algo que debería mosquearte y luego llega “ese momento” (de la revelación).

El panorama no podía ser peor, una máquina con una versión de CentOS sin actualizar al igual que la versión de Cpanel desde la que se administraba, medidas de protección cuasi-nulas tanto a niveles más bajos del sistema, como protección de ataques de fuerza bruta, picos de tráfico indeseado, escaneos de puertos un tanto “intrusivos”, configuraciones del servidor bajo mi punto de vista inadecuadas para la gran cantidad de webs que alojaba, etc. El cliente pagando por una administración delegada que efectivamente no se estaba realizando, no en este caso a su proveedor de hosting, sino a un tercero. Dicho cliente había sufrido un ataque a varios de los Joomlas instalados (sí, mirad por ahí en las carpetas de imágenes a ver si veis algún .php que no debería estar ahí…), tenía todo un entorno de acceso remoto por una puerta trasera vía web para enviar spam de forma masiva, acceder a las bases de datos, subir ficheros, etc.

Ahh, también un servidor de IRC en la raiz “/”, desde esa máquina se habían realizado ataques de pishing haciendo de pasarela, algo que pudimos comprobar mientras hacíamos el análisis, reportando por mi parte a INTECO CERT la situación de un segundo servidor comprometido (que por cierto, actuaron muy rápido avisando al ISP o dueño del dominio ya que se palió casi al instante). ¿Vaya panorama eh?. Siendo sinceros, el administrador de ese sistema no hizo su trabajo, pero si te dedicas a desarrollar o implementar algún CMS como WordPress o Joomla, lo mínimo que deberías hacer es estar al tanto de las posibles actualizaciones de seguridad que van publicándose, nadie está a salvo de un “0 day”, pero de eso a dejar pasar varias ramas o versiones hay un paso…

De una “gran” empresa de hosting y “rayos por las nubes”.

Este tema fue quizás más extraño, se trataba de un sistema “On Cloud” de estos muy modernos en los que a golpe de click, vas clonando, arrancando máquinas bajo demanda y pensando que todo se soluciona así, a base de “clicks” y monitores o paneles web muy pomposos pero que no se enteran de lo que pasa por su interfaz de red (o sistema de ficheros NFS lento como el sólo…) no hablo de Amazon por cierto.

Por resumirlo, el cliente sufrió un ataque en 3 máquinas virtualizadas sin tener en marcha ninguna web visible, es decir, había unas direcciones IP con un servidor de aplicaciones, otro para MySQL y otro para Apache en pre-producción. Entraron “hasta la cocina” y se enteraron 7 días después. ¿Los motivos o vectores de entrada? bueno, por cuestiones “técnico-económicas” el cliente no quiso realizar una auditoría forense y si mal no recuerdo, pidió un clonado de los discos virtualizados por si en un futuro, viese pertinente hacerla.

Esta “aparentemente” y aparente gran empresa de hosting, una vez acabados los trabajos a realizar por nuestra parte (que en APACHEctl no estoy yo sólo;), después de estar tirando en plan bestia con varios servidores (yo) para probar todas las medidas implementadas (ataques de fuerza bruta, escaneos de puertos de esos que hacen algo de “ruido”, denegación de servicio intentando “floodear” algún puerto o servicio inundándolo de peticiones SYN – TCP,  el cliente pidió los resultados de ese día, y cuando comparó el resultado del sistema de control de logs que le instalamos con lo que pidió a su ISP, era como para darte la risa (por decir algo), “se ha detectado cierto tráfico ICMP“, os aseguro que monté una buena, y ojo, todas las soluciones instaladas por nosotros se basan en Software Libre o herramientas Open Source y su “ultra-mega firewall” por hardware, (imagina el típico “SonicWall de 9.000 €) desde el que se realizaba un NAT hacia las máquinas virtuales, no se enteró de nada…Acabo recordando que el cliente (empresa desarrolladora) se enteró 7 días después, teniendo que dar muchas e incómodas explicaciones al cliente final.

De otro “gran” ISP que cobra por administrar, no lo hace y entorpece.

Y además de no hacerlo, actualizar los sistemas del cliente, cuando ese o esos clientes (dos en una semana) piden acceso SSH, todo son problemas, no vamos a ir al tema legal y la denostada (por mi desde sus inicios) LSSI que dice que “el ISP no es responsable de los contenidos que aloja el cliente siempre que no sea el creador de sus contenidos, pero tiene que actuar con rapidez caso de que queden expuestos datos de terceros o la propia infraestructura web“, vamos a eso de “estoy siendo víctima de un ataque, no doy con ello y como vosotros no sois capaces de pararlo y dar con el vector de entrada, por favor, ceded el paso ya que cada minuto es vital para mi negocio.

Es lo que pasa con ciertas ventas o mejor dicho “fusiones” que queda mejor, es como lo de la Coca Cola de los 80, queda el nombre y algo del gusto de antaño, pero la esencia…se perdió entre tanta “alianza estratégica“. Aquí hablamos de máquinas comprometidas intentando redirigir el tráfico hacia sitios maliciosos (que afortunadamente se paró a tiempo) y clientes que se sientes totalmente impotentes frente a una situación muy dura en la que como he dicho, cada minuto, segundo, cuenta…

Podría seguir comentando algún tema localizado en una auditoría de seguridad que realizamos a unos 30 equipos, redes, servidores, etc, en una empresa hace unos días, pero quizás aún el cliente no ha leído el informe recién enviado y es mejor que lo vea con detalle desde la tranquilidad y no en pinceladas que pueda dejar aquí escritas. Tampoco voy a poner nombres, en muchos de estos casos, se están o bien finiquitando relaciones contractuales o arreglándolas, lo siento pero si me preguntas por algún sitio en el que confiar, pasa al siguiente párrafo…

¿Y ahora qué?

Podrás preguntarte…¿todo el mundo lo hace mal? no, ¿las cosas están feas ahí fuera? sí. No deja de ser toda una paradoja que cuando alguien dice que “mi hosting es genial, etc, etc” lo hacen porque simplemente ven que su web está activa y llegado el caso (no en todos los casos que comento), el servicio de atención al cliente es bueno, contestan en tiempo y forma, etc pero…cuando tienes problemas es el momento de darte cuenta de a quien le estás dando las llaves que abren (o pueden cerrar) las puertas de tu negocio.

No sé si habría que decir a la gente eso de “mira, piensa que un servidor web es como tu ordenador de casa, tiene que estar actualizado, pero también los programas que usas a diario, del mismo modo que tienes un antivirus, bla, bla, bla“. Pero mejor quédate con eso de, actualiza primero todos los CMS que tengas instalados en tu servidor (foros, blogs, etc), realiza o contrata una auditoría de seguridad al menos una vez al año, asegúrate de que efectivamente tu SysAdmin o ISP estén actualizando/administrando esa máquina, haz lo mismo que con los médicos, pide siempre una segunda opinión, (pásate por el “Especial SysAdmin“ con Ricardo Galli) créeme, si estás leyendo esto te confesaré que soy el primero que dudo de mi propio trabajo y entre los miembros de APACHEctl y allegados, no paramos de auditarnos y ponernos a prueba, además de tirarnos de las orejas si nos pillamos en un renuncio. Y ojo, por fiarte, no te fíes ni de nosotros al 100 % si llegas a contratarnos. Sí, somos humanos y como todos, podemos cometer errores por mucho que lo intentemos evitar.

Un abrazo y “tengan cuidado ahí fuera” -;).

Pdta; Según WordPress, son 2.714 palabras, lo sé, ni tanto ni tan poco ¿o era al revés? ;D.

Compartir

Tags: APACHEctl, Ataques, Blogs, CMS, Dabo, Forense, hosting, Internet, ISP, Opinión, Servidor Web, Sistemas, Software, Spam, Sysadmin, Webmaster

Bueno, pues estamos de estreno, por fin Dani se ha animado a volver a grabar y he tenido el honor de ser con quien “acabó”, o más bien cerró una etapa en “El Arca de la Alianza“, para ahora, bajo otro nombre y dominio www.eltelardelgeek.com, comenzar a colaborar en la sección de seguridad informática, (con espíritu de; “para todos los públicos”), cada mes.

Me alegro mucho por él ya que, viendo que en un día ha tenido más de 1.000 descargas según me comentaba, tiene que ver el tirón de su podcast y que la gente estaba ahí esperando a que se pusiera “micro a la obra” ;).

Como comento en la entrada original (acceso al audio y demás datos), en el momento de grabar. no sabíamos nada sobre la vulnerabilidad en WPS y lo he recomendado desactivar la opción caso de venir habilitada, en los comentarios de esta primera entrega.

Muchas gracias “Sr Perogrullo“ en Twitter o Dani para los amigos, ya sabes que puedes contar conmigo y ahí estaré todos los meses intentando aportar algo de lo aprendido.

Por cierto, si en el año 2010 tuve la satisfacción de que uno de nuestros podcast (especial SysAdmin con Ricardo Galli) se colase en el “Top 2010″ en tecnología (se seleccionan dos por cada categoría) en el  2011 repetimos con el que grabé para Daniel, hablando de “Hackers y Crackers“, Estad atentos a sus audios ya que sacará uno cada semana (fotografía, seguridad, tecnología, etc).

(Pdta, para los aficionados a estos temas, grabé otro sobre seguridad con Dani y está el “Especial Seguridad” con Sergio Hernando).

Compartir

Tags: DaboBlog, podcast, Seguridad Informatica, Wi-FI

Con menos tiempo para publicar del que me gustaría y a unas horas de editar el podcast 33, (más bien aquí, porque en www.daboweb.com voy posteando con más regularidad, en Twitter @daboweb) ya que estoy impartiendo un curso sobre “Seguridad y el impacto de las TIC en la PYME”, además de preparando algún otro y mis líos habituales, entro para comentaros que ya están disponibles los vídeos de 5ENISE, un evento celebrado en León sobre el que os dejé aquí mis impresiones hace unos días y promovido por INTECO-CERT.

También el del encuentro “Bloggers de seguridad 2011″, mesa redonda en la que tuve el privilegio de estar junto a Jose Selvi, Manolo Benet, Sergio De Los Santos y Yago Jesús. Lo cierto es que me da bastante palo verme en pantalla y soy el mayor de los críticos conmigo mismo, pero ayer al fin lo visioné, y me reafirmo en las buenas sensaciones que tuve durante mi participación y estancia en León.

Los vídeos;

Todas las ponencias y talleres de ENISE.

El vídeo de nuestra mesa redonda

Para acabar, suscribo al 100% lo que ha publicado Yago en Security By Default, me refiero al gran trato recibido por INTECO, mención especial a Alberto (no tengo tu Twitter;) Javier Berciano y Francisco Losada, un saludo para el resto del equipo y compañeros de mesa, además del público que asistió al evento, sin olvidar a quienes estaban con el streaming -;).

Compartir

Tags: Blogger, Dabo, DaboBlog, ENISE, INTECO-CERT, Videos

Primero fue Twitter…

Bueno, sobre lo de Twitter y el cambio de password vía web no voy a hablar mucho porque los habituales de DaboBlog lo sabéis. Ya hice la demo en el pasado FIMP, demostrando que se podía acceder (en el caso que presenté) con un cliente móvil con la contraseña antigua todo el tiempo que quisieras hasta que que cerrase la sesión (también lo mencioné en el 5EBloggers del ENISE e hice otra demo vía móvil a varios compañeros de mesa). A modo de recordatorio, en caso de pérdida de un móvil u otro dispositivo ya sabéis, o borrado remoto, o ir a Twitter y revocar el acceso a la aplicación. Aún cambiando vía web el password, seguirán conectados a tu cuenta.

Ahora Dropbox.

Leer el resto de;”[FAIL] Primero fue Twitter y ahora Dropbox. Cambias el password y hasta el “logout” sigues conectado.”

Compartir

Tags: Bugs, Dropbox, Hacking, nube, Password, Seguridad Informatica, Twitter

Ayer llegué de León con muy buen sabor de boca, después de haber participado en el evento “Encuentro blogueros de Seguridad 2011” organizado por INTECO-CERT, una mesa redonda (larga y rectangular más bien;) dentro de las actividades paralelas del 5º ENISE (Encuentro Internacional de Seguridad de la Información).

Edito y añado, ya están los vídeos.

Creo que un buen resumen acerca de lo que hablamos lo hizo (y muy rápido, dada la hora a la que nos retiramos) Sergio de los Santos en el Blog del laboratorio de Hispasec. (no “de los Santosm” como dice ABC, tampoco su crónica, leyendo ya el primer párrafo se ajusta a la realidad-;). Edito y añado la crónica de Manolo (grande;) en Security Art Work, así podéis leer todos los puntos de vista.

Por añadir algo a los suyos, entramos en un debate con opiniones diversas sobre si la concienciación en buenas prácticas sobre seguridad informática era efectiva. Bien desde la divulgación pura y dura, acompañada de la dureza de posibles sanciones, etc. Sobre este punto hay una cosa que tengo muy clara, independientemente de las opiniones vertidas, la realidad es que todos los que estábamos en la mesa, desde hace años, venimos haciéndolo en distintos medios y seguiremos haciéndolo. Creo que por encima de nuestras opiniones o percepciones, seguiremos porque es necesario y más con el panorama actual, ciertos mensajes sí llegan al usuario final.

Leer el resto de;”Sobre mi participación en León en el “5EBloggers” de INTECO-CERT”

Compartir

Tags: Blogger, Dabo, DaboBlog, ENISE, INTECO-CERT, noticias, PYMES, Seguridad Informatica

El concepto de “seguridad por oscuridad” viene ya de lejos. Imagino que, si hablamos de servidores web, nace de la necesidad de protegerse tanto de muchos ataques automatizados que pueden llegar a nuestro servidor web, buscando versiones de software vulnerables, como de la imposibilidad de realizar esas actualizaciones o frente a ataques “0 day”, para los que no hay ningún parche disponible.

Hoy vamos hablar de una herramienta interesante que ya mencioné  hace más de un año en el pasado FIMP. Se trata de “Whatweb”, (acceso a la web del proyecto y su lugar en GitHub). Se trata básicamente de una herramienta capaz de identificar las versiones instaladas de la gran mayoría de CMS (gestores de contenidos) actuales, plugins y una gran variedad de aplicaciones web. También proporciona datos tan relevantes como versiones de Apache, SSL o PHP a través de la información extraída de las “cabeceras” o “banners” que lee cuando realiza una petición al website en cuestión.

"Features" (Según se lee en la web del proyecto):
	* Over 1000 plugins
	* Control the trade off between speed/stealth and reliability
	* Plugins include example URLs
	* Performance tuning. Control how many websites to scan concurrently.
	* Multiple log formats: Brief (greppable)
          XML, JSON, MagicTree, RubyObject, MongoDB, SQL.
	* Proxy support including TOR
	* Custom HTTP headers
	* Basic HTTP authentication
	* Control over webpage redirection
	* Nmap-style IP ranges
	* Fuzzy matching
	* Result certainty awareness
	* Custom plugins defined on the command line

Por lo general, simplemente dentro del directorio desde donde hayamos descargado Whatweb, ejecutamos;

Leer el resto de;”/* Sec tools */ (Cap 1). Whatweb y curl. “Seguridad por oscuridad” en servidores web GNU/Linux y Apache.”

Compartir

Tags: Apache, Ataques, CMS, Curl, GNU/Linux, Hacking, Plugins, Server, Servidor Web, Whatweb, Wordpress

Pues sí, allí estaremos, el próximo Miércoles día 26, a las 19 h en el Salón Auditorio A, del Parador San Marcos. Compartiendo mesa y ponencia con gente a la que sigo habitualmente (y admiro) como una actividad paralela a los actos que se celebran en torno al 5º ENISE (Encuentro Internacional de Seguridad de la Información).

Con el tema “Hacia una sociedad conectada más confiable” (ceo que el tema dará mucho juego), pudiendo seguirse de un modo presencial (entrada libre hasta completar el foro) o para quienes no puedan asistir, vía web. Tras una primera intervención por parte de quienes formamos la mesa, luego habrá un turno de preguntas y respuestas. En Twitter, el “hashtag” será; #5Ebloggers

En la mesa compartiré espacio junto a;

Moderador; Javier Berciano (Coordinador del Área de Operaciones de INTECO-CERT)

José Selvi Pentester | Manuel Benet Security Art Work |  Yago Jesús SecurityByDefault

Así que ya sabes, si te pasas por León, allí nos veremos, gracias a la organización por invitarme a asistir y un saludo a los compañeros de mesa ;).

Más info; “Encuentro Blogueros de Seguridad 2011“.

Compartir

Tags: Dabo, DaboBlog, ENISE, INTECO-CERT, Seguridad Informatica

# Introducción y enlaces recomendados para su lectura.

Ya he hablado antes en DaboBlog de seguridad y WordPress. No hace mucho, publiqué en mi cuenta de Twitter un enlace con el título “Hardening WordPress” (la guía oficial de WordPress para fortificar instalaciones de WordPress). El amigo Jordi Prats de “System Admin”, escribió un artículo “Configuración segura de Apache para WordPress“, con el fin de evitar el listado de plugins frente a una auditoría realizada con nuestro querido Nmap (vía el script http-wp-plugins para nmap)

En el caso de Jordi, fue a raíz de un post muy interesante de Chema Alonso (de “El lado del mal”) en el que realizaba un ataque de este tipo, con algún tip más (por ejemplo el típico error del listado de directorios en Apache y entrar “hasta la cocina”).

Pero tenía pendiente esta entrada sobre este tema y está dedicada especialmente a Dani de “El Arca de la alianza” ya que en alguna ocasión me lo había comentado, y era algo en “pendiente” desde que grabé con él un podcast sobre “Iniciación a la seguridad informática”.(y a ver si retomas la publicación bandido;).

Sobre todo esto se ha escrito por supuesto mucho y muy bien en otros blogs, pero destaco y recomiendo leer los enlaces a las entradas de WordPress.org, Jordi , Chema, Security By Default y Oreixa (con esos seis enlaces ya tenéis una buena hoja de ruta para empezar) ya que me parece que todo puede ser complementario. También citaré alguno útil en el caso de que tengáis el registro de usuarios activado en vuestro blog.

Además de cuestiones como proteger la cuenta de admin (o cambiar el nombre), tener passwords potentes (y cambiarlos), habilitar incluso el acceso por SSL al área de administración (Oscar Reixa habló de ello y publicó una entrada de la parte que tocó de WordPress junto a mi en el FIMP 2010) o una configuración de PHP para que en el caso de que haya algún fallo en la ejecución de una función o un plugin (display errors “off”) para que no revele el “path” o ruta de la instalación de WordPress (un tema publicado no hace mucho en Security By Default, recomendable su lectura). Sobre cuestiones de seguridad, servidores web y Apache (que está todo relacionado), quizás os sirva también de ayuda el resumen de mi participación en el FIMP de Gijón (2010).

# 21 Plugins para dotar a WordPress de más seguridad.

#Actualizado, gracias por vuestras sugerencias ;)

 Vamos a pensar que no todo el mundo tiene acceso vía SSH para controlar su servidor, puede estar en un hosting compartido y creo que sobra decir que si no tenéis vuestra instalación, temas en algún caso y plugins actualizados, de poco servirán muchas de las medidas de prevención comentadas.

Akismet; Todo un clásico, poco hay que hablar de él, salvo que conviene mirar de vez en cuando los comentarios o “trackbacks” ya que no es muy difícil ver “falsos positivos” y más cuando alguien en un comentario alguien mete más de 3 enlaces como se puede configurar en “Ajustes-Comentarios”). Web del plugin

Comment Timeout; Como complemento a Akismet es perfecto. Permite cerrar los comentarios en entradas antiguas, tanto a nivel global, como en cada entrada individualmente. También funciona con los “pingbacks” o “trackbacks”. Web del plugin.

WordPress Backup (BTE); Realizar una copia de seguridad de vuestro tema actual, uploads, imágenes, el tema actual, etc en un directorio (formato .zip) también hay una opción para enviarlo todo por e-mail. Web del plugin.

WordPress Database Backup; Como complemento al anterior, realizar backups de vuestra base de datos (incrementales) y además, tiene la opción de poder enviarlos por e-mail. Web del plugin.

Automatic WordPress Backup; Según nos sugiere e informa en los comentarios Rastreador “Este plugin realiza backups periódicos de tu instalación de WordPress contra un servidor S3 de amazon”. Web del plugin.

WP-DBManager; al igual que si desde vía SSH ejecutáis comandos MySQL como mysqlcheck -o (optimize) – c (check) -r (repair), este plugin hará lo mismo, ayudando a que vuestra base de datos esté siempre a punto. Web del plugin.

Stop Spammer Registrations Plugin; Aquí ya entramos en el tema de los blogs con registro de usuarios habilitado, previene y puede dejar en “cola” de aprobación, a los usuarios con correos o IPs que puedan estar marcados como “spammers” por StopForumSpam.com, Project Honeypot, DNSBL o BotScout. Web del plugin.

Además del comentado “Stop Spammer Registrations”, que ayuda con el Spam y usuarios potencialmente peligrosos puede estar bien usarlo junto a;

Cimy User Extra Fields; Posibilita la opción de reforzar el área de registro del blog, con campos personalizables, sistemas de verificación del registro, puedes ver en una lista de los usuarios pendientes de activar su cuenta, etc (ejemplo en Daboblog con otro parecido, Register Plus Redux). Web del plugin.

Wp Contact Form 7 + Really Simple CAPTCHA; Una buena opción de formulario de contacto junto a la función de Captcha del “Really Simple” para evitar Spam en el envío de correos. Web de WP Contact Form 7 | Web de Really Simple Captcha.

WP Hide Dashboard; También útil para blogs con registro de usuarios, remueve los campos innecesarios del perfil de usuario para que no pueda acceder a otras áreas administrativas. Web del plugin.

Login LockDown; Plugin para prevenir ataques de fuerza bruta contra el usuario / password. Por citar un ejemplo, puedes definir que con 3 intentos fallidos de “login”, se realice un bloqueo contra la IP durante 600 seg. Luego verás una lista de las IPs bloqueadas (pudiendo sacar alguna de esa “lista negra”. Web del plugin.

AskApache Password Protect; Un gran plugin que no estaba añadido, permite autenticación “HTTP Basic” o una más segura “HTTP Digest Authentication”. Te puede ayudar a bloquear Spam y conservar recursos de CPU, memoria, base de datos, etc. Puedes elegir un usuario y password para proteger además del login, directorios como wp-admin, wp-includes, wp-content, plugins, etc. Web del plugin.

Exploit Scanner; Puede ser útil en el caso de que vuestra instalación haya sido comprometida, para buscar en la base de datos, o ficheros, rastros de y huellas de un ataque (también busca en el CSS, HTML, etc). Ojo a los 128 mb de memoria. Web del plugin.

Secure WordPress; Múltiples funciones como pueden ser; remover la versión de WordPress, crear un archivo “index.php” en /themes o /plugins para evitar el listado de directorios, proteger vuestro WordPress contra peticiones de URL maliciosas, evitar que tanto WP a nivel de Core o sus plugins no se actualice salvo por administradores, remover de wp_head opciones como “Windows Live Writer” o “”Really Simple Discovery”" o remover informaciones de error en el login. Web del plugin.

Block Bad Queries (BBQ); Ayuda como el anterior a proteger WordPress de peticiones de webs o IPs maliciosas, realiza un chequeo de cadenas excesivamente largas (por ej mayores de 255 caracteres) , también controla peticiones URI / “Base 64″, etc. Web del plugin

WP-Sentinel; Además de un sistema de bloqueo de IP, alertas al usuario en caso de ataque, etc, protege la instalación de algunos ataques tan comunes como; “Cross Site Scriptings, HTML Injections, Remote File Inclusions, Local File Inclusions, SQL Injections, Cross Site Request Forgery, Login bruteforcing, Flooding“. Web del plugin.

WP Security Scan; Realiza un chequeo de tu WordPress buscando posibles vulnerabilidades y sugiere acciones correctivas en campos como; passwords, permisos de ficheros, seguridad de tu base de datos, oculta la versión de WP, protección para la zona de administración y remueve la etiqueta ” WP Generator META” del “core” de WP. Web del plugin.

AntiVirus for WordPress; Su función es realizar búsquedas diarias con reportes vía mail de en vuestro WP por si hay algún script o llamada maliciosa, protege de ciertos exploits e inyecciones de spam. Otra protección contra el malware en vuestro blog. Web del plugin.

Mutex; (tal y como publican en Security By Default) “Es un plugin para WordPress que incorpora PhpIds y además, lo integra perfectamente en WordPress permitiendo su administración desde el panel de gestión”. Web del plugin.

Además de todo esto, os recomiendo dar un vistazo a esta entrada del mes pasado en DaboBlog sobre “Web Site Defender“, un servicio muy interesante para controlar instalaciones de WordPress. Y recordad borrar el readme.html que da la versión !

Espero que os sea de utilidad, partiendo de la base que siempre se podrán encontrar brechas de seguridad en un sistema remoto y, que ese concepto de la “seguridad total” es sólo eso, un concepto, estas acciones os ayudarán a estar “un poco más tranquilos”, saludos ;).

Compartir

Tags: Apache, Ataques, backup, Blogs, Exploit, Malware, nmap, Plugins, Spam, webs, Wordpress

Bueno, aún con la “resaca” de tres días muy intensos en el Fimp, es momento de dedicar una entrada a un evento que cada año se va superando. Si pongo nombres de tanta gente con la que he estado tan a gusto, seguro que me dejaría alguno en el tintero electrónico de mi teclado.

Edito y añado; Disponible el vídeo (mi monólogo a partir del minuto 24, pero recomiendo verlo entero).

Y no quiero hacerlo, ya que creo que tendría que incluir a la gran mayoría de gente que asistió al FIMP, bien como ponentes o asistentes (y el resto que pudiese faltar, sería por no haber podido hablar con ellos). Aquí mi resumen del año pasado y mi parte de la charla sobre seguridad y servidores web..

Leer el resto de;”ESET Foro Internet Meeting Point 2011. Sobre mi participación e impresiones (cada vez mejor)”

Compartir

Tags: Dabo, David Hernández, ESET, FIMP, foro, Internet, LOPD, PYMES, Twitter

Hace unos días, tuve la oportunidad de participar en la “Jornada de Seguridad Informática” organizada por “Area Tic” en Oviedo. Antes que nada, dar las gracias a los impulsores del evento y asistentes por invitarme a asistir y compartir experiencias junto a otros profesionales del sector (Garrigues Abogados, Cobertura Informática y el responsable de delitos telemáticos de la Guardia Civil de Oviedo). Vaya mi más cordial saludo desde aquí.

Mi ponencia tenía una duración de 20 minutos y hablé de (IN) Seguridad en la PYME. Me centré en algún caso vivido en primera persona como puede ser en este blog y el post sobre Gmail, Google Apps y Twitter, como un ejemplo de algo tan de moda como es la “reputación online” y cómo pueden llegar a afectar a empresas tan grandes ciertas opiniones y blogs tan pequeños dentro del “mundo blog” como es este.

También cité algún ejemplo vivido en primera persona bien con las labores de consultoría que llevo a cabo desde davidhernandez.es, o como parte del equipo de APACHEctl llevando el área de Hacking Etico. Hablé de cómo un sólo equipo en red, puede afectar a toda una infraestructura empresarial, convirtiéndola en parte de una botnet en base a una infección que bien podía haber sido evitable tanto por las medidas de protección instaladas (que no eran las adecuadas), como por parte de un empleado víctima de un engaño a través de la descarga de un fichero (visor de vídeo) malicioso. Aquí suscribiría mis palabras de no hace mucho tiempo, acerca del poco interés de las empresas en dotar a sus empleados de una cultura de la seguridad informática que vende menos que el “Social Media” o el Marketing de siempre.

Tuve tiempo para exponer un ejemplo de ataque por “ingeniería social” con el fin de conseguir el código de desbloqueo a un “Smartphone” supuestamente olvidado (haciéndome pasar por alguien de la oficina de objetos perdidos y aprovechando que el móvil tenía un logo corporativo visible aún con el bloqueo), sobre medidas de protección en ese tipo de dispositivos que hoy en día son como una extensión de nuestra oficina, además de otros como lápices de memoria, portátiles, etc.

Para acabar, recordé un caso no muy lejano hablando de auditorías de seguridad, en el que, por cuestiones de la LOPD, un sólo fichero que no estaba donde debía estar, podría comprometer a nivel legal (y cerrar llegado el caso) a una ya no pequeña, sino mediana o gran empresa. También de la LSSICE, etc.

Pero sobre todo, cada vez que vas a un evento de este tipo, te das cuenta de lo complejo que es para cualquier PYME cumplir las diferentes normativas vigentes y más cuando operan en entornos web, algo muy habitual hablando de “Comercio electrónico” y la gran cantidad de empresas que llevan su modelo de negocio a La Red o lo complementan desde una tienda virtual u otros sistemas.

Creo que existe un “vacio” entre la parte legal (diferentes normas ISO, LOPD, etc), técnica (Redes, soluciones anti-malware, software instalado, soporte) y en cómo realizar un plan de actuación “real” ante los diferentes escenarios hablando de seguridad a los que se enfrenta una PYME en la actualidad si nos referimos a la Gestión de la Seguridad de la Información (SGSI).

Y es que, además de intentar cumplir en este caso por ejemplo con la ISO/27001 (que puede servir para todas las series “27000″) por aquello de “conseguir la certificación”, habría que ir más allá del marco jurídico o de las propias certificaciones para pensar que una empresa que dote de buena formación a sus empleados, tendrá mucho más fácil intentar cumplir con toda la normativa vigente y certificarse de un modo más sólido, pero sobre todo, evitarse “sustos” y de los buenos en medio de esos procesos. De todos es sabido que el eslabón más débil en la cadena de la seguridad es el ser humano, cualquier fleco o cuestión sin pulir puede acarrear a esa empresa multas que según las cuantías, acabarían forzando un “cerrojazo” por no poder afrontarlas.

Creo que no es lo mismo que le digas a un empleado (que no está de más); “Ojo con no poner la opción con copia oculta cuando envías correos masivos que igual nos meten 3.000 € de multa“, a que le enseñes cómo tiene que hacer un uso racional de las nuevas tecnologías. No digamos en puestos como “Recursos Humanos”, donde se manejan datos potencialmente críticos si hablamos de la LOPD ¿de qué sirve realizar todos los pasos que dictamina la Agencia de Protección de Datos, si ese empleado no sabe por dónde tiene que navegar o no, que ficheros puede instalar en su equipo, o lo que supone “hacer click” en un enlace que secuestra su sesión de usuario vía un ataque de phishing?

El problema es que cada vez aprietan más a la PYME con normativas y leyes cuasi-imposibles de cumplir (también nos pasa a muchos blogs / webs) en momentos difíciles y se sobrecarga de trabajo a empleados que realizan otras tareas para implementar las correspondientes certificaciones, luego, el resto de la plantilla lo ve como el típico rollo que hay que cumplir “por que sí” y se puede dar el caso de que estén todos los procedimientos escritos, pero, o nadie sepa llegado el caso dónde están, o cómo aplicarlos con efectividad.

Si tienes todos “los deberes hechos” y luego tu extranet está alojada en un servidor potencialmente vulnerable, alguien con responsabilidad en la empresa se conecta a esa extranet desde conexiones que no son seguras o por la primera Wi-Fi que encuentra, el software no está debidamente actualizado, no se cifran los ficheros o datos más comprometedores, en las mesas de los despachos están desde contraseñas de usuario, fichas o datos de clientes al alcance de cualquiera, no se protegen los dispositivos móviles como se debería hacer y no se intentan “romper” mediante una auditoría todas las medidas puestas en marcha, las certificaciones no serán más que bonitos cuadros o estatuillas colocadas en los despachos…

Quizás algún día, la gente empiece a ver la seguridad informática, como un activo hoy en día para la empresa mayor aún que los muchos cursos (sí, a veces obligatorios por parte de multinacionales o franquicias) de ventas, marketing, etc. La (IN) Seguridad es algo “vivo” que va por delante de cualquier certificación o normativa. En un escenario como el actual, la prevención, rapidez de respuesta y formación, pueden ser nuestros mejores aliados. Seguridad “real” y actual como apoyo a las diferentes empresas de certificación / adecuación.

Compartir

Tags: Cursos, formación, Hacking, Legal, LOPD, LSSI, Malware, Redes, Seguridad Informatica