DaboBlog

Disclaimer: Publicado originalmente en el blog de INTECO.

Existen muchos mitos sobre un concepto tan utilizado en el mundo IT como el de “respuesta rápida a incidentes“. Podemos incluso, realizar todo tipo de planes de contingencia, continuidad de negocio, previsiones y pruebas de concepto, pero en base a las experiencias vividas en mi día a día con los servidores web, a título personal, o junto a mis compañeros de APACHEctl, a pesar de intentar marcar unas pautas comunes de actuación, en la hoja de ruta a seguir cuando todo lo que puede ir mal sucede, en cada caso tienes que añadir una nueva variable.

Es como un teorema en permanente estado de revisión, cuestionamiento y actualización. Obviamente, cuando has preparado un entorno web desde cero, juegas con la ventaja de saber en que terreno te mueves (sabes cómo puede funcionar el proveedor de hosting, la gestión del incidente, tiempos de recuperación, backups, la gestión de la comunicación y posible respuesta del cliente, medios de los que dispones, etc).

Pero en mi opinión, la complejidad reside en un caso muy común y muchas veces olvidado, donde cuando estableces una conexión SSH, tienes la sensación de estar “en tierra de nadie”. En un panorama como el siguiente, no sirven de mucho las teorías, lo que cuenta es crearlas sobre la marcha con la experiencia adquirida en el desarrollo de ese teorema anterior y ponerlas en práctica en el mínimo tiempo posible. Me refiero al caso tipo de:

“Hola, el motivo de mi consulta es porque mi servidor web no va bien y creo que puede estar comprometido”.

Hablamos de escenarios hostiles, las frases hechas como “lo más seguro es quitar el cable de red” son sólo eso, coletillas con un efecto placebo para el usuario. En momentos así, el único mecanismo de defensa frente al pánico del responsable del entorno de producción de turno, es pensar que quizás pueda librarse de verlo parado con las consecuencias que ese hecho pueda tener, tanto para la empresa, como para los usuarios finales.

Y allí estás, frente a una línea de comandos en un sistema GNU/Linux conocido por su arquitectura, pero totalmente desconocido en cuanto a su estado, en el que ya sabes desde antes de empezar que ese día, tu lista de variables aumentará, esperando también que alguna de las almacenadas en memoria funcionen. En medio del fuego cruzado TCP/IP que está entrando y saliendo por el cable de esa máquina, donde tú sólo eres una pieza más del puzzle (olvídate de protagonismos heredados de Hollywood) y los daños colaterales pueden ser grandes.

Siendo consciente, de que eres posiblemente el paso previo a un posterior análisis forense que de hecho, ya lo estás haciendo, aunque sea a un nivel no tan bajo del sistema. Revisando conexiones, logs y alguna vez, compartiendo sesión con quien ha provocado que estés allí.

Y sí, tienes que manejar de la mejor forma posible tanto la gestión del incidente, la comunicación, plan de continuidad, impacto sobre el sistema, grado de intrusión y todo lo que está en la teoría, ya que una decisión errónea, puede ser el desencadenante de una serie de hechos totalmente desafortunados para todas las partes implicadas, el ligero problema, es que debes hacerlo en minutos, o segundos…

Ahí radica la diferencia con “el escenario ideal”, otra frase hecha, pero en esta ocasión para quien se ha esforzado en implementar todos los planes necesarios que comienzan por ISO, el cliente que ha pagado por ello, o para el sufrido “SysAdmin” que también tiene derecho a irse a dormir algún día tranquilo. Cuando ves la (IN) Seguridad como algo natural y estás familiarizado con ella, sabes que todo es susceptible de pasar de “ideal” a “infernal” en cualquier momento y tienes que estar preparado.

Quizás, por ejemplos como este, uno de tantos, si después lees algo acerca de los intentos de criminalización de nuestra profesión, queriendo limitar el uso de herramientas para realizar auditorías de seguridad o tests de intrusión, es cuando piensas que mucha gente vive en universos paralelos, que más bien podrían denominarse, “para lelos”. Hoy, ese teorema, tan inquietante como abstracto, seguirá evolucionando.

Por cierto, no sé cómo acabará, pero empieza con un “Hacking is not a Crime”.

Tags: Apache, APACHEctl, backup, Forense, GNU/Linux, Hacking, hosting, INTECO, Opinión, Servidor Web, Sysadmin

Disclaimer:

Este post puede considerarse como un acto de promoción dado que soy parte “interesada” o directamente implicada por mi participación en los casos que comento. Ante las (lógicas) posibles dudas, vamos a apelar a aquello de “pásate por ejemplo” por daboweb.com que en breve cumple 10 años y sólo verás un lugar más de ayuda informática, totalmente desinteresado, sin publicidad y hecho por amigos, no colaboradores, amigos, reitero, por y para la comunidad, aprovecho la ocasión para mandar un saludo a mis compañeros de Caborian.

Además, son más cinco años junto a vosotros por aquí en DaboBlog como para que os venga a contar películas en formato TS Screener (recuerda, descarga, pero con calidad).

¿Por qué esta entrada? Y tan tarde…

Bueno, era algo que tenía pendiente, a pesar de que intento conservar cierta actividad en las webs que promuevo o participo, colaborar con el podcast de mi amigo Dani, con el que he grabado unos audios sobre seguridad Wifi y seguridad en dispositivos móviles “para todos los públicos” (por cierto, sobre DaboBlog Podcast, pronto sacaremos un nuevo episodio, o eso espero;), Iniciación a la seguridad informática y “Crackers, Hackers & Hacktivismo“.

Como os decía, es frustrante por ejemplo, abrir Twitter y no poder leeros como me gustaría, no devolver todo el feedback que llega, dejar de publicar aquí con mayor regularidad o en Daboweb, DebianHackers, etc, pero uno da hasta donde da y tiene sus limitaciones. Acabo de ver que mi último post es del día 18 de Enero, día del famoso “Blockout“.

Situación actual.

Actualmente me encuentro inmerso entre una marea de cursos que estoy impartiendo (dentro de las actividades que llevo a cabo desde davidhernandez.es) y otra marea, pero en este caso, con APACHEctl.com junto a mis compañeros. Hablo de mareas de bytes, servidores web, auditorías de seguridad, terminales, intervenciones de urgencia, etc y todos los problemas a los que se puede enfrentar un autónomo en una época como esta, además de un proyecto en común que va gestándose con paso firme y a ritmo suave con Emma Fernández, buscando una diversificación en base a ciertos servicios que demandan algunos clientes.

Servidores y aplicaciones web, usuarios, condicionantes…

Y de mi actividad principal quería hablaros, servidores, seguridad, clientes, SysAdmins y algún ISP que en lugar de “Internet Service Provider“, bien podría ser un acrónimo de “Internet Sopla Pollas“. Sí, de varios hechos que he podido comprobar con mis propios ojos, algunos adelantados en medio de sensaciones entre el cabreo o la falta de comprensión por mi parte y…ciertamente hacen falta más de 140 caracteres para expresarlo. Eso sí, 140 caracteres son pocos, pero aunque tampoco quiero abusar de vuestro limitado tiempo en medio de una multitarea cada vez más acuciante, reconoceréis que a casi un post por mes, tengo que exprimir un poco el teclado ;)

Partamos de la base de que no siempre se puede actualizar como te gustaría o querría el cliente, existen ciertas dependencias entre algunas aplicaciones web, versiones del S.O, entornos de producción que no se pueden parar (de todo esto hablamos Sergio Hernando y yo en el “Especial Seguridad“) y situaciones en las que hay limitaciones tanto técnicas, comerciales o administrativas que impiden un estado ideal de algunos sistemas web en producción. Me tranquiliza en lo personal, saber que en ninguno de estos casos se den esas circunstancias.

Por otro lado, si alguien que trabaje en seguridad o sistemas no entiende que bajo ciertas condiciones, su infraestructura puede ser comprometida, debería pensar en cambiar de trabajo porque cuando viene un cliente buscando que le vendas una utopía, o veo en algún sitio web eso de “garantizamos al 100 % tu seguridad” me quedo alucinado o pienso ¡Qué envidia, si yo pudiera…!

A dos días de terminar de impartir un curso sobre SGSI, LOPD, LSSICE y todas las implicaciones y embrollos legales que se pueden dar cuando manejas datos de terceros, (aprovecho para saludar a esos 14 alumnos con los que tanto aprendo;), cada vez me doy cuenta de que en la solidez de la gestión de la seguridad entran en escena tantos protagonistas (ISP, Webmaster, sofware instalado, usuarios, SysAdmin, etc) que controlar todas esas variables al 100 % es prácticamente imposible, os recomiendo (sobre el factor humano) esta entrada “Por qué falla la seguridad” de los colegas de Security By Default.

Leer el resto de;”De Servidores Web comprometidos y personas o empresas que no se comprometen.”

Tags: APACHEctl, Ataques, Blogs, CMS, Dabo, Forense, hosting, Internet, ISP, Opinión, Servidor Web, Sistemas, Software, Spam, Sysadmin, Webmaster

Es curioso, no hace falta irse a grandes empresas para darse cuenta de que las “golosinas”, en forma de atractivas campañas de marketing (off-online), promoción “dospuntocero” a tope y mucha presencia “social”, les resultan más atractivas que mirarse un poco el ombligo y dotar a sus empleados de una formación básica en seguridad (ya no digo medio/avanzada que sería lo deseable). Quien dice a sus empleados, dice a la propia empresa.

Hasta que “di el salto” y me puse a trabajar por cuenta propia, no para mi mismo que es una frase hecha ya que siempre lo haces para terceros, durante más de 20 años haciéndolo para diferentes empresas, este hecho siempre ha sido algo recurrente. La seguridad preocupa poco, o más bien sólo cuando sucede un desastre o incidente serio que hace girar la cabeza hacia ese lado y encender las alarmas (tarde ya) con la correspondiente pérdida de negocio, datos, prestigio o clientes.

Lo más triste es que precisamente, quienes más protección deberían tener en sus equipos, sí, esos que están en los escalafones más altos en la cadena de mando/responsabilidades, suelen implicarse poco o casi nada y están más pendientes de instalar la aplicación móvil “chorra” del momento, para mostrarla orgullosos en sus iPhone, Blackberry o Galaxy “extra large”, que de ver qué sucede a través del cable de red de su empresa. Y así nos va…

En medio de todo, llegan los gurús del “Social Media” que se llenan la boca de acrónimos tal y como cité en esta entrada, vendiendo atractivas motos especialmente preparadas para quienes “quieren creer” (que ojo, hacen su trabajo y algunos muy bien) y esa empresa, o más bien sus responsables, cuando ven su página en Facebook, su cuenta de Twitter, un blog, empiezan a girar “en círculos”  (de Google +) y se emborrachan del “me gusta” y el “+1″…

Y con la borrachera, o más bien después de ella, llega el olvido. Las resacas “sociales” son duraderas porque actúan a largo plazo, la visión “borrosa” impide ver lo que tienes frente a ti y claro, ¿cómo van a venir a chafarte la fiesta?.

Que estamos en una época de crisis es algo de todos sabido, que es importante conseguir nuevos clientes o no perder los que ya tienes también, pero precisamente, pensando en esos clientes actuales o futuros, la formación en seguridad se debería considerar un activo para la empresa y no esa parte “fea” o de color gris tirando a negro tal y como la ven algunos.

Un equipo de trabajo preparado para evitar fugas de información, incidencias en ocasiones críticas y con una base en seguridad de la información, hará que esa empresa obtenga un valor añadido de cara al exterior y que interiormente sea más sólida.

Si tienes una empresa, estás leyendo esto y sigues sin usar SSL en tu correo, tienes el mismo password en todos los sitios (quizas pegado ahí cerca de la pantalla) o no te acuerdas de la última vez que lo has cambiado, tu smartphone no tiene un código de bloqueo, el disco duro de tu portátil no está cifrado ni cuentas con algún sistema de protección adicional, a tu sistema le faltan los pertinentes parches de seguridad, tienes antivirus ineficaces o sin actualizar, no sabes quien, cuando, cómo y hasta dónde acceden a tu intranet, tienes un montón de papeles en la mesa con datos de tus clientes, o no cuentas con un sistema de backups fiable, etc, quizás debas replantearte tranquilamente y con la mente despejada en qué invertir (o no malgastar en muchas ocasiones) tu dinero.

Invertir en seguridad informática es hacerlo en algo real, tangible y con resultados a corto, medio y largo plazo. Tienes una puerta blindada, contratas un servicio de vigilancia, alarmas de última generación y hasta puedes ver lo que sucede en tu empresa vía una webcam y el móvil pero ¿Qué sucede con lo que no ves?

No lo olvides, “los chicos malos” usan otras puertas y pasan sin avisar…

Tags: formación, Hacking, Malware, Opinión, Seguridad Informatica

# Disclaimer;

Este post está dedicado sin mala leche y con cariño, a esos maqueros que tenéis a bien seguirme, a pesar de que sobre Mac apenas publico o comento nada (salvo en el podcast dentro de la sección “Manzanas Traigo” y siempre como “invitado” para dar otro punto de vista) y de que la temática principal del blog está relacionada con GNU/Linux, servidores web, seguridad y opinión.

Escribiendo esta entrada, estoy pensando que quizás no estaba mal hacer un especial en el podcast sobre seguridad en GNU/Linux, Windows y Mac OS X, seguro que tenía una buena acogida, pero desde luego, el post no va sobre eso, ya que sería demasiado largo y escribiendo sólo yo, seguro que me quedaba un tanto subjetivo y no muy imparcial a pesar de que conozco los 3 sistemas operativos y en Daboweb, a diferencia de aquí, hablamos de todos ellos.

Pues bien, como sé que sois unos cuantos, quería simplemente con ese título del post en forma de claro “titular” pro GNU/Linux pero NO en contra de Mac OS X, llamar vuestra atención y para nada buscar flames que en 5 años nunca he promovido, al menos conscientemente y que sinceramente ni los necesito o me dan de comer.

Datos de Symantec

Empiezo poniendo el gráfico ya que se ve mejor la situación actual de este troyano a Diciembre de 2010 según podemos leer en la fuente original “The Register”.

Obviamente, también los sistemas Windows se ven afectados por este malware, quizás la gran diferencia, es que un usuario medio de Windows, es más consciente de los peligros a los que se enfrenta y suele tener más herramientas instaladas en su sistema para combatirlos, Partiendo de la base de que la cuota de usuarios es claramente superior en Windows, en Mac OS X llega a un 16 % de infecciones.

¿Cómo actúa Jnanabot – OSX/Koobface? Aclaro, según la gráfica sólo afecta a Leopard o anteriores, pero tampoco he leído que no afecte a 10.6, aunque es un ejemplo

Este tipo de troyanos “multiplataforma” son de sobra conocidos por la gente interesada en la seguridad, digo “multiplataforma” porque se basan en Java y ahí puede caer cualquiera de los 3 sistemas operativos con diferentes niveles de impacto pero en patrón de actuación es muy similar. Permanecen ocultos una vez se alojan “cómodamente” en tu sistema, utilizando según Symantec “un fuerte cifrado” y puedes desde llegar a ser parte de una Botnet (o red troyanizada de ordenadores “zombies”), realizar ataques DDoS, publicar mensajes en tu cuenta de FaceBook, etc. También se podría hablar de su función P2P y el acceso a tu disco duro…

¿Por qué no está ahí GNU/Linux a pesar de que sí puede verse afectado?

Según podemos leer en la fuente original sobre la opinión de Dean Turner, director de Symantec’s Global Intelligence Network y hago una transcripción literal,

“Turner dijo que los ataques de Jnanabot en la plataforma de código abierto no eran capaces de sobrevivir a un reinicio”.

Ahora es cuando alguno puede pensar aquello de… “claro, como Symantec no puede entrar en el mercado del escritorio hablando de GNU/Linux, por eso buscan más “pegada” en el tema Mac al ser un mercado que interesa”. Yo me quedaría de veras con otro dato, el 16 % de las infecciones se dan en sistemas Mac, olvida a GNU/Linux ahora y entiende que a pesar de que no es el típico malware que infecta a “cientos de miles” sino a “miles” de equipos, el ratio para mi es lo suficientemente alto como para que sea tomado en serio si usas Mac.

Incluso, aunque en mi equipo según Dean Turner no tenga impacto, os aseguro que estoy muy al tanto de mi firewall, el estado de mis conexiones, puertos abiertos, etc. Quizás, si eres un usuario de esos que tienen una confianza ciega en Mac OS X,  tú también deberías hacer lo mismo y empezar a ver a ese sistema como algo de tu propia responsabilidad, no de la Apple y el “tío Jobs” que por lo visto no está para muchos trotes…

Según Secunia, Mac OS X fue el sistema más afectado por vulnerabilidades en 2010.

Creo que no estaría mal que le dieses un vistazo a este informe que puedes descargar desde aquí en formato PDF para darte cuenta de algo que llevo tiempo diciendo en mi condición de “invitado” en la parte Mac del podcast. En la mayor parte de las ocasiones, sobre las actualizaciones de Mac OS X no se dice toda la verdad, en Daboweb procuramos llamar a las cosas por su nombre y si te suscribes a la lista de correo de seguridad de la propia Apple, te darás cuenta de lo que te digo, cambia mucho lo que lees en el icono de  “Actualización de software” de OS X, a lo que realmente te llega a esa lista, que no es otra cosa que todas las vulnerabilidades reales en cada aplicación, servicio u otra parte del sistema.

Quizás ahí podemos ver otro ejemplo de la diferencia en cuanto a temas de seguridad en GNU/Linux, donde la gran mayoría no tenemos miedo a saber que sucede con nuestro sistema, sino más bien a la falta de información, aceptamos que hay bugs como algo natural y sólo esperamos que puedan ser solventados de la forma más rápida y eficaz posible, pero no que se nos “maquille” la información que recibimos para darnos una sensación de falsa seguridad. Sí, es una de las grandes ventajas del software libre, otra más.

El 2011 puede ser un buen momento para empezar…

Pero no he escrito esto para “evangelizar” a nadie, simplemente creo que es un buen momento para iniciar el año con mejores prácticas en cuanto a la seguridad, que mires en las preferencias del sistema / seguridad a ver qué sucede con tu firewall, que instales aplicaciones como Little Snitch para que ver que aplicaciones salen a internet y de qué forma y no sólo para bloquear a Adobe y sus updates que te dejarían sin tu Photoshop.

También este 2011 puede ser el punto de partida para que le des un vistazo a esa “flamante” App Mac Store (que los linuxeros ya tenemos hace años algo similar pero free en nuestros equipos por cierto, gracias por el comentario AJ) buscando alguna de las soluciones anti malware que incluyen (varias gratuitas) y que no van a ralentizar tu sistema, sino más bien evitar que “vayas tan rápido que te des un buen leñazo”…

¿Es Mac OS X un sistema inseguro?

Sinceramente y por mi propia experiencia de años atrás cuando lo usaba conjuntamente con Debian, es un sistema robusto y sobre la base “bastante” seguro. Pero lo es, cuando quien lo usa es consciente de lo que se trae entre manos, adquiere unas buenas prácticas de seguridad, cuando está debidamente parcheado (no sólo el sistema base sino también sus aplicaciones) y preparado para las nuevas amenazas que llegan desde La Red. Algo que desde luego tampoco puede olvidar un usuario de Windows ni tampoco un linuxero, ojo.

Tags: Apple, Ataques, Bugs, Facebook, Firewall, GNU/Linux, Jnanabot - OSX/Koobface, Mac OS X, Malware, Opinión, Software, Troyano

[1] Recuerdo que cuando éramos Webmasters todo era más fácil. Ese título o más bien autoafirmación de ser “el maestro de la web” era una bicoca, sólo con conseguir colgar algo en Internet, podías lucirlo con orgullo en: “contacta con” el Webmaster.

Luego, empezabas a leer a Jacob Nielsen, sus estudios sobre “usabilidad” y te lo empezabas a creer, de alguna forma, honrabas un poco ese tecnológico “gentilicio”.

Todos éramos felices hasta que Google se adueñó de la creación de Tim Berners Lee, perdimos fuerza y nos puso en “su sitio”. Otro día, de pronto pasamos a ser “responsables de un sitio web“, LSSI mediante…

La WWW fue relegada por la “2.0″ y con ella, llegaron los sucesores del sufrido Webmaster. ¡Quién se lo iba a decir! tantos años ahí, para morir enterrado por los “maestros, de los acrónimos” [140]

Tags: Google, LSSI, Opinión, Webmaster