jueves, 21 de mayo de 2015

Tunelizar conexiones de manera selectiva en Windows.

El trabajo de un auditor, administrador de seguridad, etc.., requiere que en su día a día tenga que estar conectado, y siempre hablando de determinados escenarios, a varias redes, establecer conexiones con un origen específico, uso de conexiones VPN, etc..

El otro día, hablando con Jose Selvi vía telefónica sobre cosas mundanas y terrenales, me comentaba que en su portátil con Windows había tenido que configurar este tipo de cosas.
Es interesante destacar que, como hemos comentado en anteriores párrafos, en determinados escenarios puede ser interesante encaminar cierta parte de nuestro tráfico a través de distintas redes. Como principal ejemplo Selvi me comentaba que esto lo hacía cuando no gestionaba el EndPoint – por ejemplo una VPN que no controlamos – y que no le gustaba que cierto tráfico de su propiedad se pudiese ver “comprometido” o dar facilidades de acceso al mismo a un tercero.
Hay muchas opciones y muchos escenarios en donde también es interesante habilitar este tipo de configuraciones, como por ejemplo si necesitamos utilizar la salida de una determinada herramienta para alimentar a otra y no queremos andar “parseando” tráfico local nuestro. Otro ejemplo se puede dar cuando en determinadas auditorías exigen que se entregue una bitácora de peticiones – por ejemplo en formato PCAP – a modo de auditoría.

En Linux esto es posible realizarlo a través de netfilter/iptables y con las opciones de PREROUTING. Para hacerlo en Windows necesitamos entender cómo se gestionan y se crean conexiones de tipo VPN para luego poder encaminar los datos que necesitemos.

 Cuando Windows genera una conexión VPN y nos conectamos a través de ella, el sistema operativo crea una ruta por defecto en la que se indica que todo nuestro tráfico lo encaminará a través de dicha conexión, y será el servidor final el que tendrá que realizar una acción de forwarding en caso de que se utilice también como conexión a Internet. Esto se puede verificar una vez conectados a la VPN con un simple route print.


En caso de que no queramos que todo el tráfico pase por la VPN, en Windows pasa por configurar la nueva conexión de acceso remoto y desmarcar las opciones de Default Gateway en IPv4 e IPv6. Para ello, y en tus conexiones de red, debes configurar esta opción en la pestaña Networking de tu conexión de acceso remoto.


Una vez desmarcada esta opción, usaremos la flexibilidad del comando route, y generaremos las entradas necesarias para encaminar el tráfico deseado por la conexión VPN. Para ello necesitamos conocer varios elementos:

    Dirección - Rango de direcciones – Redes completas a encaminar
    Número de interfaz

El número de interfaz se puede averiguar con el propio comando route print, o también a través del instrumental de administración de Windows.

 Una vez tengamos estos datos, podremos utilizar la flexibilidad que nos otorga la creación de rutas para generar la nuestra. En el caso de que necesitemos generar una ruta para una dirección IP concreta, se podrá utilizar el siguiente comando:



En caso de necesitar que la ruta fuese persistente, se puede hacer uso del flag –p. Una vez realizado este paso para cada una de las direcciones IP o redes concretas, la próxima vez que nos conectemos a través de esa red VPN, todas las conexiones realizadas desde nuestro equipo a esas direcciones IP, se encaminarán a través de la conexión remota. El resto de peticiones se realizará con nuestra conexión local.
Si se desea realizar esto de manera masiva – por ejemplo a través de Directorio Activo y a un número determinado de equipos – se puede realizar a través de PowerShell y políticas de grupo. Para los interesados Microsoft ha generado un documento con scripts de ejemplo, el cual puedes descargar desde la siguiente dirección:

http://www.microsoft.com/en-us/download/details.aspx?id=2555

Los servicios y aplicaciones Microsoft permiten determinados tipos de configuraciones y vías de fortificación con mucha flexibilidad y a través de múltiples vías. Para los que estéis interesados en este tipo de tips y escenarios de fortificación avanzados, Lorenzo Martínez, uno de los editores de SecurityByDefault, me ha invitado a dar unas sesiones en el curso de Hardening de Sistemas Windows, Linux e Infraestructuras, y del cual estoy encantado de participar junto a buenos ponentes y amigotes, como Pedro Sánchez o Yago Jesús. Si quieres más información, así como un índice del mismo, puedes consultar el siguiente enlace:

https://www.securizame.com/curso-online-de-hardening-de-sistemas-windows-y-linux-e-infraestructuras_jg/

Fuente: http://www.securitybydefault.com/2015/05/tunelizar-conexiones-de-manera.html

martes, 19 de mayo de 2015

Hardening, asegurar o morir.

Cuando uno trabaja en un equipo de respuestas ante incidentes (DFIR o CIR) se da cuenta de la cantidad de problemas que existen en las organizaciones cuando estas tienen un incidente grave. Por desgracia ‘los malos’ rompen el perímetro y se quedan a vivir en los servidores hasta que ocurre algo o el propio sysadmin se da cuenta de que la cosa no va bien.

Normalmente se soluciona revertiendo la situación aplicando remedios como los formateos, actualizaciones de seguridad y como no, bastionando el sistema que suele ser un puesto de trabajo, servidores o dispositivos de red.

El bastionado o ‘hardening’  es el proceso de reforzar la seguridad de estos sistemas con objeto de eliminar el mayor número de riesgos de seguridad. Esto permite, que con el paso de los tiempos las configuraciones de seguridad de muchos productos (realmente caros) han mejorado en los últimos años, pero alguna de estas opciones que el propio fabricante aconseja por defecto, dejan al descubierto vulnerabilidades que son aprovechadas por los atacantes de forma indiscriminada.

Cambiando de tercio, un ejemplo muy vistoso y lamentablemente muy activo son los ataques que utilizando ‘el arte del Phishing’ hacen que los usuarios ejecuten programas que dicen ser certificados o ficheros "pdf" para mostrarnos la cara real de los Ransomware, los cuales están haciendo un daño increíble a la industria y especialmente a la Pymes cuyo nivel de conciencia y protección (por desgracia)  es muy poco o casi nulo. Aprovechan la debilidad de los usuarios y la mal granularidad de privilegios en Windows, el cual se convierte en la victima perfecta.

También los anti-malware, antivirus y anti-todo se han demostrado innocuos ante semejante problema hasta que han dispuesto de las muestras para ofrecer una ajustada y tardía solución.
Por otro lado y como decía anteriormente las soluciones que defienden el perímetro no son efectivas con las configuraciones impuestas de fábrica, las cuales hay que ‘tunear’ para adaptarla a la empresa, así mismo tan importante es el perímetro como el punto final el cual hay que asegurar como último bastión de defensa.

Lo que quiero decir es que no hay que confiarse y dejar la responsabilidad a la tecnología (recordad, la tecnología es una herramienta) y por lo tanto hay que diseñar un plan empezando por concienciar (esa palabra tan desgastada), la formación y fortificación de los sistemas. Un sistema bastionado es complicado de atacar.

Pensando en estas cosas y comentando con Lorenzo de Securizame ha propuesto un entrenamiento basado en un curso para todos los sysadmin, administradores de Windows y técnicos especialistas para que tengan la habilidad necesaria para afrontar con éxito un ataque y poder bastionar sus sistemas.

Únase al curso de Hardening de Sistemas Windows y Linux e Infraestructuras y experimente una inmersión totalmente práctica. Aprenda las técnicas y habilidades de forma rápida y automática desde el primer día. 

jueves, 7 de mayo de 2015

Rombertik, el 'malware' que funciona como un terrorista suicida

Expertos en seguridad han emitido una alerta sobre un nuevo tipo de 'malware', que es capaz de destruir el 'Master Boot Record' (MBR) del disco duro y los archivos de la carpeta de inicio de una computadora si se detecta en los controles de seguridad. El programa, apodado Rombertik por Cisco Systems, está diseñado para penetrar en el navegador e interceptar cualquier texto escrito en una ventana.

Según publica Talos, el grupo de investigación en seguridad de Cisco Systems, el mismo se difunde a través de los mensajes de 'spam' y 'phishing'. Una vez que el usuario lo ha descargado haciendo clic en un enlace, Rombertik comprueba si está siendo analizado por una herramienta del antivirus. Sin embargo, a diferencia de otros 'softwares' maliciosos, puede tratar de destruir el equipo, sobreescribiendo el MBR del disco duro o, si no funciona, pasando a eliminar todos los archivos de la carpeta de inicio.

Para no 'contagiar' el ordenador con Rombertik, los especialistas recomiendan tener instalado un antivirus fiable y actualizado y no abrir documentos adjuntos de correos enviados por desconocidos

Fuente:  http://www.gaceta.es/noticias/rombertik-malware-funciona-terrorista-suicida-07052015-1018

domingo, 3 de mayo de 2015

Actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) que se actualiza a la versión 42.0.2311.135 para corregir cinco nuevas vulnerabilidades.
Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. De igual forma Google retiene información si algún problema depende de una librería de terceros que aun no ha sido parcheada. En esta ocasión, aunque se han solucionado cinco vulnerabilidades, se facilita información de una de ellas.
Se corrige una vulnerabilidad de gravedad alta, con CVE-2015-1243, de uso después de liberar en DOM. Por otra parte, también del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1250).
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:
Stable Channel Update
Fuente:http://unaaldia.hispasec.com