Blogs Libres

En donde trabajo, el dia que llegué me dieron un token ePass 2000. La idea es que esto lo use cuando se necesite acceder a algun servidor via vpn (cosa que aún no hago, I do not care…). Todo bien hasta ahí, el problema es que el coso este solo funciona en Windows (otra razón más para no usarlo), pero solo instalado directamente en el computador. Tampoco funciona en maquinas virtuales o al menos eso me dijeron (creo que con el passthrough podria andar), pero aun no he intentado hacer eso.

Mucho blabla…

El asunto es que hace un par de semanas dedicí buscar una forma de poder conectarme sin tener que usar el dispositivo aquel. Estuve toda una tarde pensando (asi que no hice nada en el trabajo) y no se me ocurrió. Pero ya saben lo que dicen, siempre hay una solución más simple. Y la encontré cuando iba camino a mi casa: ssh reverse (como no se me ocurrió antes).

Como?

Muy facil: Desde mi equipo en el trabajo abro una sesión ssh al compu de mi casa, asi:

ssh -R 14443:localhost:22 boris@mi-server.org -pXXXX

Y luego, desde el compu de mi casa hago:

ssh bquiroz@localhost -p14443

Y listo. Así funciona el ssh reverse.

Igual es un cacho… o no?

Personalmente creo que esto es un horrible bug (?) en la arquitectura de red de una empresa. Simpre se ha dicho que la mayor parte de los ataques vienen desde adentro de la organización y por lo tanto no basta con configurar el firewall para permitir accesos solo de algunas partes, forzar el uso de la conexión vía VPN (que ya demostré que es vulnerable), usar medidas de seguridad caras, etc, etc, etc…

Esta empresa igual es grande, tiene sistemas muy delicados y críticos, por lo mismo utilizan un sistema de acceso remoto, en teoria, seguro. Pero que pasa cuando queda demostrado que no es así? Nos fuimos al carajo? Espero que no. Ya buscaré alguna forma de evitar eso. Si lo hice yo, lo puede hacer cualquiera y como no hay un control en la red de qué conexiones estan abiertas ni hacia donde, cualquiera podria estar haciendo cualquier cosa…

En donde trabajo, el dia que llegué me dieron un token ePass 2000. La idea es que esto lo use cuando se necesite acceder a algun servidor via vpn (cosa que aún no hago, I do not care…). Todo bien hasta ahí, el problema es que el coso este solo funciona en Windows (otra razón más para no usarlo), pero solo instalado directamente en el computador. Tampoco funciona en maquinas virtuales o al menos eso me dijeron (creo que con el passthrough podria andar), pero aun no he intentado hacer eso.

Mucho blabla…

El asunto es que hace un par de semanas dedicí buscar una forma de poder conectarme sin tener que usar el dispositivo aquel. Estuve toda una tarde pensando (asi que no hice nada en el trabajo) y no se me ocurrió. Pero ya saben lo que dicen, siempre hay una solución más simple. Y la encontré cuando iba camino a mi casa: ssh reverse (como no se me ocurrió antes).

Como?

Muy facil: Desde mi equipo en el trabajo abro una sesión ssh al compu de mi casa, asi:

ssh -R 14443:localhost:22 boris@mi-server.org -pXXXX

Y luego, desde el compu de mi casa hago:

ssh bquiroz@localhost -p14443

Y listo. Así funciona el ssh reverse.

Igual es un cacho… o no?

Personalmente creo que esto es un horrible bug (?) en la arquitectura de red de una empresa. Simpre se ha dicho que la mayor parte de los ataques vienen desde adentro de la organización y por lo tanto no basta con configurar el firewall para permitir accesos solo de algunas partes, forzar el uso de la conexión vía VPN (que ya demostré que es vulnerable), usar medidas de seguridad caras, etc, etc, etc…

Esta empresa igual es grande, tiene sistemas muy delicados y críticos, por lo mismo utilizan un sistema de acceso remoto, en teoria, seguro. Pero que pasa cuando queda demostrado que no es así? Nos fuimos al carajo? Espero que no. Ya buscaré alguna forma de evitar eso. Si lo hice yo, lo puede hacer cualquiera y como no hay un control en la red de qué conexiones estan abiertas ni hacia donde, cualquiera podria estar haciendo cualquier cosa…

Ayer tuve la suerte de estar muchos kilometros al sur de Santiago, en la ciudad de Puerto Montt. Fui hasta allá para hablar sobre dos temas que me gustan mucho y consideré interesante poder presentarselos a la gente de allá.

El primer tema fue Virtualización for real men, es decir, con Xen. (Sí, para variar estuve hablando de Xen ). Aproveché de hacer una mini demo conectandome al server de la casa. Estuvo muy bueno.

La segunda charla, sobre seguridad en sistemas *nix, me dió la impresión de que estaba dando una clase. Las caras de la audiencia no era de aburrimiento, sino que era caras de interés. Todos prestando atención, varios tomando apuntes, preguntas al final… No, muy bueno.

En general en todas las charlas del dia se veia el respeto de los asistentes por el tema expuesto. Eso es lo bueno de hacer este tipo de cosas en Universidades o Institutos. La gente va y pone atención Personalmente quedé bastante contento con contenido y el resultado de las charlas que dí, asi que espero que esta experiencia se pueda repetir.

Cuanto aparte la atención: Me trataron excelente! Muy buenas personas, muy buenas conversaciones, buen almuerzo… Todo genial. Además de eso, a todos los expositores nos entregaron un regalo.

Me traje a Santiago un muy buen recuerdo de mi pasada flash por Puerto Montt.

El próximo Jueves 10 de Septiembre, a las 19.30 horas estaré en el Aula Tecnológica de INACAP Sede Santiago Sur hablando, a grandes rasgos, sobre seguridad en sistemas GNU/Linux. En esta sesión (sí, se vienen más charlas) hablaré de SSH (y OpenSSH). La idea es que los asistentes cachen mas o menos qué es, para qué funciona más allá de ser algo para conectarme a los servidores, tratar de hacerlos entender que SSH != Putty, qué son esas cosas RSA y DSA, que aprendan que la autenticación puede hacerse por vaaarios métodos y finalmente entregarles algunas “buenas prácticas” para los que trabajan y así las puedan poner en práctica.

En resumen, intentaré explicar en poco más de una hora lo que el profesor deberia explicarles en medio semestre. Veremos como me vá.

Cuando termine la presentación les dejo los slides en algun lugar. El que quiere ir, es libre de hacerlo. Además, como en todas mis charlas, hay sorteo!

pd: obviamente le haré propaganda a las JRSL

pd2: @egipcios, no llego al kikazo. Están avisados…

Disclaimer: en este post no daré nombres de personas ni empresas. Peeeeero, si se lo sabe cante! (y deje un comentario)

Este fin de semana, cierta empresa que entrega dosis diarias de tecnología en español sufrió un ataque que tuvo sus sistemas por el sueño un buen tiempo. Segun yo, impresentable. No puede ser que una compañía que se dice seria tenga sus sistemas abajo todo un fin de semana, más aún teniendo en cuenta las razones y/o explicaciones que dieron los encargados.

Si le interesa el tema, follow the white rabbit…

Las personas que realizaron el ataque, para dejar huella de sus actos, escribieron un post  en la página de en cuestión para que el mundo supiera lo que estaba pasando. Como no leí dicho post, no puedo opinar al respecto, asi que centraré este artículo en las explicaciones que dieron los encargados que, a decir verdad, son muy estupidas.

“El ataque que recibimos tiene una morfología bastante clara, corresponde a un ataque de recopilación de información privada habiendo vulnerado las credenciales a una cuenta de acceso personal de uno de nuestros miembros. Con la información obtenida en esa cuenta lograron acceder a un repositorio privado de contraseñas que dejaron de ser utilizadas en enero de 2009.“

Pregunta: Si las contraseñas dejaron de ser utilizadas, cómo pudieron acceder a los sistemas de administración de la plataforma?

“Mediante los datos anteriores lograron acceder a un antiguo servidor de produccion lugar en el cual alcanzo a estar contenida la aplicación Beta ID, una vez dentro de este servidor el atacante realizo una copia del código fuente de la aplicación Beta ID, ademas de lograr obtener un dump de las credenciales cifradas (SHA256) de los usuarios. Luego mediante un ataque de colission hash lograron desencriptar algunas de las contraseñas criptograficamente más débiles basándose en diccionarios.”

Preguntas: Si el servidor aquel, el que tiene la BetaID, también es antiguo, por qué esas contraseñas todavia servian?! Cuánto te demoras en decifrar SHA256? Desencriptar basando en diccionarios? Ok…

“Adicionalmente a esto lograron acceder a los paneles de administración de uno de nuestras comunidades (FayerWayer) lugar desde el donde fue publicado un articulo en el CMS Wordpress dejando a disposición del publico general toda la información rescatada desde las cuentas personales que fueron accedidas de forma no autorizada previamente.”

A ver si entendí: Con contraseñas que dejaron de ser usadas en Enero de este año lograron vulnerar este sistema? De ser así, aún tienen información relevante en antiguos servidores de producción?

Personalmente tengo solo dos explicaciones para esto: O es todo mentira, o el sysadmin de la compañia esa es muy pelotudo. Creo que el error que cometiero es inacpetable y no puede ser que una compañia que se dedica a la tecnología no tenga procedimientos claros para solucionar estos inconvenientes, que siempre ocurren. Es inaceptable tener los sistemas abajo por dos dias mientras investigan qué paso. Es inaceptable tener servidores que alguna vez estuvieron en producción aún conectados a internet. Si vemos la seguridad como una cadena, esos antiguos servidores serían el eslabón que esta medio roto y por el cual podemos romper dicha cadena.

Ahora, hay mucha gente que piensa que esto fue un auto-hack para aumentar el tráfico en el sitio. De ser así, pasaria de ser inaceptable a patético. Y prefiero no creer eso.

Por suerte estos tipos no están encargados de administrar servidores que realmente son importantes: bancos, impuestos internos, aeropuertos, etc. Ya lo dije en un Twitt: Están caros hasta para administrar los servidores de la junta de vecinos