miércoles, 26 de agosto de 2015

¿Sabes qué son los niveles TIER?



Pura vida gente!

Les paso a explicar en unos sencillos pasos que son los TIER Levels, frase proveniente del mundo de los Data Centers.

Primero, ¿qué es un TIER Level? Es una metodología estandarizada que define/mide el tiempo de disponibilidad de un data center. Fácil verdad!

Segundo, se basan en un estándar llamado ANSI/TIA-942-A, el cual provee una guía para:

  1. Medir el incremento de los niveles de resilencia en los Data Centers.
  2. Mejorar el nivel de confiabilidad y robustez de los Data Centers.
  3. Las calificaciones TIER se dan en cuatro áreas:
    • Telecomunicaciones.
    • Eléctrica.
    • Arquitectónica.
    • Mecánica.
  4. Los niveles de redundancia se miden así:
    • Tier I = Componentes sin capacidad redundante (ejemplo 1 sola UPS o 1 solo proveedor de datos).
    • Tier II = Tier I + Dispositivos con componentes redundantes.
    • Tier III = Tier I + Tier II + Equipos de alimentación eléctrica dual y varios enlaces de salida.
    • Tier IV = Tier I + Tier II + Tier III + todos los componentes son completamente tolerantes a fallos incluyendo enlaces de datos, almacenamiento, aire acondicionado, energía eléctrica, etc. Todo tiene alimentación eléctrica dual.
Tercero, el Uptime Institute clasifica los Data Centers en cuatro categorías: Tier I, II, III y IV. Estas categorías corresponden a las garantías que ofrecen en cuanto al tipo de hardware que utiliza el Data Center para garantizar su redundancia.

Disponibilidad: 99,67%
28,8 horas de interrupción al año. Sin redundancia
Disponibilidad: 99,75%
22 horas de interrupción al año. Redundancia parcial
Disponibilidad: 99,982%
1,6 horas de interrupción al año. Redundancia N+1
Disponibilidad: 99,995%
0,8 horas de interrupción al año. Redundancia 2N+1

¿Qué diferencias básicas hay entre TIER III y IV?

TIER III: Con esta configuración, existe la posibilidad de programar periodos de mantenimiento sin que afecten a la continuidad del servicio en los servidores. Sin embargo, estos datacenters no están protegidos de cortes en caso de incidencia en los distintos componentes de la infraestructura. En otras palabras, los datacenters de nivel Tier III no tienen redundancia completa. Permiten el cold swap.

TIER IV: Los datacenters de esta categoría son completamente redundantes en cuanto a circuitos eléctricos, refrigeración y red. Esta arquitectura permite hacer frente a las peores incidencias técnicas sin interrumpir nunca la disponibilidad de los servidores. Permite cambiar los discos para mejorar sus prestaciones o sustituir componentes defectuosos (disco RAID, bloque de alimentación) sin interrupciones del servicio en el servidor, es decir, hot swap.

Y bueno, los TIER IV son anti-bombas! Un apocalipsis zombie ocurre y son los últimos en enterarse.

Nos vemos.

jueves, 13 de agosto de 2015

Concientización de la Ciberseguridad



Pura vida gente!

El Usuario, la meta final... si les pareció a la intro de Star Trek, pues ya están viejos como yo.

Pues si, es el eslabón más débil de la cadena de seguridad. Kevin Mitnick, nos indica que existen 5 formas de entrenar a tus usuarios para que la superficie de riesgo se disminuya.

Veamos:
  1. No hacer nada. Depender de filtros y contar con que los usuarios no hagan clic en enlaces de tipo phishing. La forma más barata y tonta. Es sorprendente que el 25% de las organizaciones siguen utilizando esta táctica.
  2. El cuarto de castigos. Arrear (si arrear...) a todos los usuarios una vez al año a una sala de conferencias. Mantenerlos despiertos con Red Bull y café durante una infinita cantidad de diapositivas de PowerPoint. Al menos se despertarán descansados.
  3. El video mensual de seguridad. Esta es cuando a los usuarios se les ofrecen videos cortos, que cada cubren un tema relacionado con mantener la red segura. Lo que no saben es que cuando van al baño y regresan, han pasado dos y medio videos, interrumpen preguntando y causan la fragmentación de la formación al resto del personal.
  4. La prueba de phishing. Se selecciona a un grupo de usuarios de alto riesgo, y se les envía a un simulacro de ataque tipo phishing. Cuando finalizan, se les pide al personal que no logró ganar el entrenamiento, que lo lleven de nuevo... recursivamente hasta el fin de las eras. Recuerden, no todos saben caminar y mascar chicle al mismo tiempo.
  5. El Cortafuegos Humano. Empodere al usuario, dele confianza de tomar decisiones para que encuentre la forma de visualizar (en su puesto de trabajo), la manera más simple de sacarle información. Se sorprenderán lo entusiasta e imaginativa que es la gente. Lo siguiente sería, entrenar on-line a todos sus usuarios para que aprendan a detectar cuales son los vectores más comunes de ataque, contra el trabajo que ellos mismos desarrollan. Calendarice durante todo el año ataques falsos y variados de phishing, -nada como escenarios en producción para mantener a la gente alerta-. Esto hace que desarrollen el "músculo mental" para reaccionar. Simple y altamente efectivo.

Nos vemos.

martes, 14 de julio de 2015

Dorks para buscar... de todo!


Pura vida gente!

En algún momento se han hecho la pregunta: ¿Alguien buscará mi nombre en Internet? o ¿La cámara web de mi laptop estará espiándome sin que me de cuenta?

La verdad es que el espionaje sobre Internet es más común de lo que creen. No necesariamente es a usted al que están espiando (¿o si?), sin embargo, los ejemplos sobran (y los voyeristas también...).

Les comparto dos ejemplos de mal uso de la tecnología:

  • Cuenta en Twitter que expone la intimidad de miles de personas, por medio de cámaras TRENDnet sin proteger.
  • O el sitio Fisgonia, cuyo nombre lo dice todo.

¿Recuerdan el problema reportado en enero del 2012 por en el blog Console Cowboys? A ese me refiero. Ahí vienen los firmware de actualización de las cámaras, para evitar vulnerabilidades.

Y para hacerle la tarea de fisgonear en forma sencilla a la gente enferma, es posible ingresar Pastebin y buscar "anony/mjpg.cgi".

Este otro sitio, que no fue creado con malas intensiones, y permite revisar cámaras públicas al rededor del mundo: World in Cams.

Si prefieres hacerlo tu mismo escribiendo comandos, voy a pasar a explicarles algunos dorks que pueden serles útiles, cuando hacen búsquedas sobre Internet:

cache:
Google resaltará aquellos contenidos de los documentos "cacheados".
uso:-->cache:www.google.com web
link:
Listará los sitios que contengan links que apunten al sitio o contenido que buscas.
uso:-->link:www.google.com
related:
Listará las páginas web que son similares a la página especificada.
uso:-->related:www.google.com
info:
Presentará información acerca del sitio web que estás buscando.
uso:-->info:www.google.com
define:
Proveerá una definición de las palabras que escribas, recogidas de varias fuentes en línea.
site:
Google restringirá los resultados de la búsqueda al dominio dado.
uso:-->help site:www.google.com
allintitle:
Google restringirá los resultados de la búsqueda a aquellos con las palabras específicas que buscas.
uso:-->allintitle: google search
intitle:
Google restringirá los resultados de la búsqueda a aquellos documentos que contienen las palabras a buscar en el título. Busca la palabra "google" en el título y la palabra "search" en el contenido del documento.
uso:-->intitle:google search
inurl:
Dork usado para encontrar texto dentro de una URL.
uso:-->inurl:google search
intext:
Dork usado para encontrar texto dentro de una URL y su descripción, como por ejemplo: welcome admin user name. Este ejemplo buscará cada para en el contenido y en la URL también.
inall:
Dork usado para encontrar texto. Es la combinación de los dos anteriores Dorks.
ext:
Dork usado para encontrar extensiones de archivos:
ext:ppt hacking - retornará presentaciones powerpoint (ppt) del tópico 'hacking'.
ext:doc hacking - retornará archivos de word (doc) del tópico 'hacking'.
Extensiones que google soporta buscar: pdf, swf, rtf, doc, ppt, dwf, ps, kml, kmz, xls.
Ejemplos

Archivos que podrían contener passwords:

  • filetype:sql insite:pass && user
  • ext:sql intext:@hotmail.com intext :password
  • filetype:sql inurl:wp-content/backup-*(Search for WordPress MySQL database backup.)
  • filetype:sql "phpmyAdmin SQL Dump" (pass|password|passwd|pwd)
  • inurl:ftp "password" filetype:xls
  • filetype:sql "PostgreSQL database dump" (pass|password|passwd|pwd)
  • filetype:ini "[FFFTP]" (pass|passwd|password|pwd)
  • filetype:ini "FtpInBackground" (pass|passwd|password|pwd)
  • filetype:ini "precurio" (pass|passwd|password|pwd)
  • filetype:ini "SavedPasswords" (pass|passwd|password|pwd)
  • filetype:ini "pdo_mysql" (pass|passwd|password|pwd)
  • inurl:config/databases.yml -trac -trunk -"Google Code" -source -repository "login: *" "password= *" filetype:xls
  • ext:php intext:"$dbms""$dbhost""$dbuser""$dbpasswd""$table_prefix""phpbb_installed"
  • filetype:sql "insert into" (pass|passwd|password)
  • inurl:"editor/list.asp" | inurl:"database_editor.asp" | inurl:"login.asa" "are set"
  • ext:yml database inurl:config
  • inurl:"Sites.dat"+"PASS="

Cómo encontrar upload paths:

  • inurl:.co.in & inurl:upload.php & intext:browse

Cómo encontrar sitios con posibles vulnerabilidades de sql injection:

  • intext:SQL syntax & inurl:index.php?=id

Archivos que contienen nombres de usuario:

  • filetype:conf inurl:proftpd.conf -sample
  • finding admin panel examples:
  • inurl:/admin/index.php & intext:/welcome admin user name pass
  • inurl:admin/login.asp
  • inurl:admin/login.php

Ejemplos de páneles de control inseguros:

  • inurl:.php? intext:CHARACTER_SETS, COLLATIONS, ?intitle:phpmyadmin
  • inurl:phpmyadmin/index.php

La siguiente lista de Google-Dorks es para revisar sistemas de vigilancia con IP's públicas.

Más allá de solamente revisar (voyerismo), recuerde que si está pensando en una solución de vigilancia estilo CCTV, configure bien sus accesos remotos.

Sin más preámbulo, los Dorks:

  1. inurl:"ViewerFrame?Mode="
  2. intitle:Axis 2400 video server
  3. inurl:/view.shtml
  4. intitle:"Live View / - AXIS" | inurl:view/view.shtml
  5. inurl:ViewerFrame?Mode=
  6. inurl:ViewerFrame?Mode=Refresh
  7. inurl:axis-cgi/jpg
  8. inurl:axis-cgi/mjpg (motion-JPEG)
  9. inurl:view/indexFrame.shtml
  10. inurl:view/index.shtml
  11. inurl:view/view.shtml
  12. liveapplet
  13. intitle:"live view" intitle:axis
  14. intitle:liveapplet
  15. allintitle:"Network Camera NetworkCamera"
  16. intitle:axis intitle:"video server"
  17. intitle:liveapplet inurl:LvAppl
  18. intitle:"EvoCam" inurl:"webcam.html"
  19. intitle:"Live NetSnap Cam-Server feed"
  20. intitle:"Live View / - AXIS"
  21. intitle:"Live View / - AXIS 206M"
  22. intitle:"Live View / - AXIS 206W"
  23. intitle:"Live View / - AXIS 210"
  24. inurl:indexFrame.shtml Axis
  25. inurl:"MultiCameraFrame?Mode=Motion"
  26. intitle:start inurl:cgistart
  27. intitle:"WJ-NT104 Main Page"
  28. intext:"MOBOTIX M1" intext:"Open Menu"
  29. intext:"MOBOTIX M10" intext:"Open Menu"
  30. intext:"MOBOTIX D10" intext:"Open Menu"
  31. intitle:snc-z20 inurl:home/
  32. intitle:snc-cs3 inurl:home/
  33. intitle:snc-rz30 inurl:home/
  34. intitle:"sony network camera snc-p1"
  35. intitle:"sony network camera snc-m1"
  36. intitle:"Toshiba Network Camera" user login
  37. intitle:"netcam live image"
  38. intitle:"i-Catcher Console - Web Monitor"
  39. intitle :flexwatch intext :"Copyright by Seyeon TECH Co"

Mucho cuidado y nos vemos! ;-)

martes, 5 de mayo de 2015

Herramienta contra CoinVault



La compañía rusa Kaspersky Lab ofrece una herramienta, que busca liberar de ransomeware los archivos de los usuarios en forma gratuita.

Se trata de un desarrollo hecho en conjunto con la Unidad Nacional contra Delitos de Alta Tecnología de la policía holandesa y que actúa específicamente contra el virus "CoinVault".

La herramienta fue creada en base a datos obtenidos por la policía holandesa, provenientes de un servidor de comando y control. Con eso, el equipo de Kaspersky pudo crear un repositorio especial de claves de descifrado que aún sigue creciendo, ya que la investigación sigue en curso.

Según datos entregados por Kaspersky, CoinVault ha afectado a más de mil equipos Windows en 20 países, especialmente en mercados como Países Bajos, Alemania, Estados Unidos, Francia y Reino Unido. En Latinoamérica se han registrado casos en Argentina, Panamá, República Dominicana y México.

Sin más preámbulo, acá la herramienta en línea: https://noransom.kaspersky.com/

lunes, 16 de marzo de 2015

De cuando el miedo me debía dinero.



Esa construcción cultural de lo que llamamos: Miedo, y que "para quien tiene miedo, todo son ruidos", citando a Sófocles en un arranque neuronal, podríamos hacernos una temerosa pregunta (asumo que notaron el juego de palabras), ¿existe en realidad?

Racionalizando el punto, podemos definir que es una emoción primaria que se deriva de la aversión natural al riesgo o la amenaza, y que se manifiesta en todos los animales ¡incluyéndolo a usted! (no se vaya a enojar...), ¡incluyéndome! (ya estoy empezándome a caer mal), en fin...

Freud -que no tuve el conductual gusto de conocer-, aseguraba que existían dos tipos de miedo (típico, tenía que haber más de uno): el real y el neurótico. Es decir, uno inconsciente y otro aprendido.

Humildemente, pasaré a explicar décadas de estudios de muy conocidos "loqueros"... err, profesionales de nuestra psique. Es curioso, que esté definida como mitología, es decir, algo que no existe. Esto nos lleva a otra pregunta: ¿cómo se define aquella persona que estudia algo que no existe?... bien, bien, no nos desviemos!

La psique en psicología perdió su base metafísica y "se convierte así en la designación de todos los procesos y fenómenos que hacen la mente humana como una unidad." Me sigue gustando la otra definición etérea.

Ah sí! La explicación... perdón, son conductas aprendidas. Un chiste de neuróticos:

-Doctor, doctor, nadie me cree.
-Dígame la verdad ahora, ¿cuál es su verdadero problema? 

Ahora, de forma magistral debo añadir, otro pero de miedo real:

En el fragor sangriento de la batalla el capitán gritaba a sus soldados:
-¡Adelante! ¿Quien manda aquí yo o el miedo?
Y un soldado, que no podía mas le contesto:
-¡¡El miedo señor!!
-¿Cómo que el miedo soldado?
-Claro! porque usted será muy capitán, ¡pero el miedo es general!

¡Los psicoanalistas saben que los neuróticos no les van a durar para siempre! La vida no es eterna (ese es uno de los motivos por los que los neuróticos son neuróticos), y además, a veces los neuróticos se trasmutan a otra especie, la de los psicóticos (neuróticus encabronadus), la de los sanos (neuróticus curatus) o la de los psicoanalistas (neuróticus profesionalis). Pero un buen neurótico puede durar más de 10 años en el diván, si se sabe (o si no se sabe) cómo tratarlo.

Pero ¿se acuerdan de la pregunta? (que dicha, porque tuve que devolverme para leerla de nuevo). Mi respuesta se basa en un principio informático universal: KISS (Keep It Simple Stupid!). Existe solamente en nuestra cabeza, la cual está toda embarrada de psique... que en un principio no existía! y que luego le dieron una definición que les tomó décadas hacer que la gente creyera.

Por esa razón Ichabod Crane huía del Jinete aterrorizado, lo mataba la incertidumbre, porque alguien sin cabeza no creo que lo pudiera ni siquiera, insultar.


El miedo es muy real, cuando está en nuestra cabeza, pero no fuera de ella. Por eso el Miedo me debe dinero. Tantas cosas sin hacer por miedo al Miedo...


viernes, 9 de enero de 2015

Serie Forense: Copia local de dispositivo USB con Linux



Pura vida gente!

Este es el primer post sobre Computación Forense de una serie que tengo planeado compartirles. Ya que ocuparemos la siguiente información en posteriores posts, haremos este tema primero. 

Usando Kali Linux (luego veremos el ejemplo con Windows) y un USB pendrive realizaremos una copia bit-a-bit del contenido de este. Muy bien, una copia bit-a-bit (Bit-Stream copy) es la copia de un contenido digital donde cada bit de dicho contenido, es idéntico al bit correspondiente del original.

Lo anterior es uno de los pasos más comunes en ciertas investigaciones forenses. Por supuesto, hay muchísimos pasos previos, pero solo nos enfocaremos en este. Veamos:
  • Inserte el disco de arranque de Linux en el PC y haga boot del sistema. Podría también usar un PC que ya lo tenga instalado, pero lo ideal es que todo se ejecute en memoria volátil.
  • Conecte el dispositivo de almacenamiento USB, si no se monta automáticamente se requerirá montarlo manualmente. Supondremos que es /dev/sdb1 y se ha montado como /media/USB.
  • Busquen el contenido que desean copiar en el directorio /dev, en el ejemplo, el disco duro se llama sda con particiones sda1, sda2, etc.
  • Con el comando md5sum /dev/sda > /media/USB/ImagenMD5hash01.txt cree un hash MD5 de la unidad en el dispositivo USB montado, para verificar la integridad del medio original contra la copia al final del procedimiento. Este paso es uno de los más relevantes, ya que si hubo alguna alteración, no sería admisible como prueba legítima en un hipotético caso legal.
  • Ejecute el siguiente comando: 
    • dd if =/dev/sda of =/media/usb/Imagen01.img
  • Lo anterior copiará el contenido del USB como un archivo en el HDD como Imagen01.img, recuerde que para Linux todo es un archivo.
  • Cree otro hash MD5 de la copia. Servirá para compararla con la original para verificar la integridad de la copia.
  • Haga más de una copia y un hash por cada copia. Es mejor prevenir y tener varias muestras.

El resultado deberían ser varias copias y varios hashes. Nunca trabaje sobre los datos originales! Para eso son las copias. En forensia existe la adquisición de datos manual, física y lógica (eso lo explicaré en otro post).

Es importante recalcar que el método anterior no explica nada si se encuentran problemas de por medio. Por ejemplo, si el PC no puede leer algunos de los sectores de la unidad que va a copiar, o si el archivo se debe dividir para que quepan en el CD, o si la imagen necesita partirse para que quepa en un dispositivo FAT32 y requiere archivos más pequeños de 2 GB.

Cuando se generan imágenes de una unidad que empieza a tener algunos sectores dañados, el siguiente comando se puede utilizar:

dd if=/dev/hda of=/media/USB conv=noerror,sync

Esto permitirá a dd continuar en los errores de lectura, y en la pista del destino donde se encuentren ceros es donde se han producido errores en la unidad de origen (por lo que su tamaño y compensaciones coincidirán). Si lo hace, es posible que desee considerar redirigir los errores estándar a un archivo, por lo que tiene un registro de dónde se encuentran sus errores.

Es posible dividir las imágenes creadas. El método más fácil es mediante el programa de división. La sintaxis del comando si usted tiene una imagen de 4GB para encajar en un CD sería:

dd if=/dev/hda | split –b 600m – /USB/sda/

Esto dividirá la imagen de salida en secciones de 620MB (-b 620m) en el directorio /USB/sda/. El nombre que les da a los fichero suele ser a* (* puede ser cualquier letra). Estos archivos pueden ser reformados en un archivo de imagen con el comando cat (## es un consecutivo).

cat a* > LaImagen##.img

A continuación, cree un hash del archivo usando md5sum y lo compare con el valor hash inicial.

md5sum LaImagen##.img

Alternativamente, si la división no está disponible puede utilizar dd por sí mismo, pero utiliza el skip, bs (tamaño de bloque) y el recuento interruptores para evitar que la lectura comience desde el principio.

dd if=dev/hda of=/media/USB/image1.img bs=1M count=600
dd if=dev/hda of=/media/USB/image2.img bs=1M count=600 skip= 601
dd if=dev/hda of=/media/USB/image3.img bs=1M count=600 skip= 1201

... y así hasta el final del archivo de entrada. Una vez en el sistema de destino y en el mismo directorio se puede juntar todos en una sola imagen con el siguiente comando:

cat /home/imagen * > TodoJunto.img

md5sum se puede ejecutar en esta imagen y se compara con el hash md5 original para comprobar la integridad.

Para ayudar a reducir el tamaño se puede utilizar gzip y split juntos. A continuación se muestra la sintaxis utilizada para realizar esto:

dd if =/dev/hda | gzip -c | split -b 2000m – /media/USB/imagen.img.gz.

dd se utiliza para tomar una imagen del disco duro. Esto es pasado al gzip (-c es la salida estándar). La imagen comprimida se canaliza entonces a la herramienta de división split, y continuación crea los archivos imagen.img.gzaa, imagen.img.gzab, etc. Para restaurar la copia de seguridad de varios archivos, ejecute el comando siguiente:

cat /USB/image.img.gz * | gzip -dc | dd of =/dev/hda

cat muestra el contenido del zip y archivos de imágenes divididas en stdout en orden. Los resultados se canalizan a través de gzip y se descomprimen. Y por útimo se escriben en el disco duro con el comando dd.

Bueno hay más comandos y formas de utilizar dd, pero creo que esto es suficiente para que investiguen más.

Nos vemos.