Impresoras inalambricas, quizás un agujero en tu red.

Pues para ser sincero hay que decir, que la llegada de la tecnología 802.11 ha cambiado la forma en que usamos la tecnología, nos ha liberado de los cables y nos ha permitido hacer cualquier de cualquier rincón nuestra esquina en el ciberespacio. También es cierto que a la llegada de WEP y su posterior muerte culpa de su cifrado RC4 marcaron una etapa en la inseguridad de todas las redes inalambricas, hasta que al fin por alla por el 2004-2005 WPA2 fue ratificada como la norma de seguridad a ser usadas para entornos inalambricos y desde entonces el estándar 802.11i ha sido el equivalente al candado definitivo para nuestras redes.

Cabe aclarar sin embargo que la frase “totalmente seguro” no debe ser empleada jamas en el ámbito de la seguridad informática ya que es posible vulnerar 802.11i a base de capturar el HandShake y pasarlo por fuerza bruta para lograr encontrar el valido, así como hacerle fuerza bruta a WPS y sus combinaciones de pin, pero quiero darle un giro distinto a la seguridad de estas redes y mostrarles un nuevo agujero que quizás pase muy desapercibido para algunos administradores de red, pero que esta ahí, esperando a ser explotado.

Impresoras Inalambricas.

Generalmente cuando tenemos una impresora en la red bastaría con una poca configuración para poder compartirla con todas las estaciones y dependiendo del protocolo que utilicen estas representan riesgos en mayor o menor medida, solo basta recordar un poco cuando  Netbios y su puerto 139 TCP causo muchos dolores de cabeza a los administradores de redes, pero luego todo mejoro, llego SMB y el sol volvió a brillar en lo alto del cielo, luego llego HP con sus impresoras inalambricas que ofrecían mayor flexibilidad, mejor integración con su servicio e-print que permitía imprimir desde el smartphone, y muchas características que a la verdad mejoran la forma en la que nos desenvolvemos, pero… y la seguridad que?

Pues estas impresoras en algunos de sus modelos vienen con dos NIC, una de ellas Ethernet y la otra Wireless y aqui es donde viene la cosa, la interfaz wireless de manera predeterminada viene “Open” es decir sin método de autenticacion, y en mas de una ocasión al conectarme a la impresora he podido acceder a servicios como Internet, recursos compartidos como carpetas publicas, etc…

Impresora inalambrica sin seguridad.

Impresora inalambrica sin seguridad.

Dejando así un agujero en la pared por donde podríamos intentar muchas cosas mas, las recomendaciones:

  • Consultar con el fabricante las configuraciones predeterminadas de cada periférico que agreguemos a nuestra red.
  • Asegurar las impresoras inalambricas con seguridad WPA2 y contraseña lo suficientemente larga.
  • No compartir recursos sin alguna forma de autenticacion previa.
  • Y esta demas, pero si no es necesario para que usar estos perifericos, recuerden que se pueden compartir impresoras cableadas con dispositivos inalambricos usando SMB.

Saludos respetados blogueros y hasta una próxima entrega. Y recuerden si te gusta mi entrada comparte y permitirme llegar a mas personas.

Anuncios

El veneno llega a las arterias de la virtualización, VENOM aterriza en los centros de datos.

En la seguridad informática existe siempre la constante carrera entre el anuncio de un fallo de seguridad y la salida del update que hace de parche al mismo, y es durante ese tiempo que las cosas se ponen un poco tensas en los departamentos de IT de las empresas privadas y publicas. El asunto es que generalmente los que sacan partidos de la tecnología de virtualizacion se sienten un tanto seguros de esta costosa y eficiente técnica que ha venido a simplificar la vida de muchos, pero para romper con esa tranquilidad nos llega “VENOM”.

Pues desde que conocimos Heart Bleed (bug que permitía conocer las claves de cifrado privadas haciendo un volcado de la memoria del Server) no habíamos tenido tanto movimiento hasta hace unos dias cuando se ha descubierto VENOM (Virtualized Environment Neglected Operations Manipulation), esta vulnerabilidad fue descubierta por Jason Geffner Senior Security Researcher de la compañia CrowdStrike.

¿Como funciona VENOM?

Antes que todo imaginemos un entorno virtualizado donde existen varios servidores ofreciendo y supliendo las necesidades de la empresa y de los clientes, ahora imaginemos que un atacante logre comprometer un solo de esos servidores y desde ahí sea capaz de extenderse a los demas servidores virtuales e incluso al mismo sistema huesped.

Suena terrorifico verdad?

Lo mas terrible es que es totalmente posible.

Pues todo comienza con un Bug en el código del controlador FDC (Floppy Disk Controller) en QEMU, que es por mucho la tecnología mas usada por las plataformas de virtualización alrededor del mundo y quizás muchos lleguen a la conclusión de:

Pero Floppy Drive es algo totalmente obsoleto…

Y aunque es muy cierto que los Floppy Drive son algo del pasado también es cierto que la mayoría de maquinas virtuales traen por defecto al menos una unidad Floppy activada y aunque el administrador deshabilite la misma igual sigue de forma nativa el controlador para hacer funcionar la misma.

VENOM afecta directamente a QEMU 2.3.0 y sus versiones anteriores, asi como a Xen y KVM, lo que podría traducirse en decir que afecta a:

* xen:4.5.0
* redhat:enterprise_linux:5
* redhat:enterprise_linux:6
* redhat:enterprise_linux:7.0
* redhat:enterprise_virtualization:3.0
* redhat:openstack:4.0
* redhat:openstack:5.0
* redhat:openstack:6.0
* redhat:openstack:7.0

Cabe resaltar que VMware, Microsoft Hyper-V, and Bochs hypervisors no son vulnerables a VENOM.

VENOM es una vulnerabilidad existente desde el 2004 fecha en que se agrego por primera vez el controlador de Floppy Disk a QEMU.

¿Que hacer frente a VENOM?

Pues como decía al inicio del articulo la seguridad informática es la carrera entre el tiempo en el que se publica una vulnerabilidad y el tiempo que tarda esta en ser parcheada así que la mayoría de las soluciones vienen a ser las mismas para la mayoría de ellas, entre las posibles soluciones recomendadas por los chicos de CrowdStrike están:

  • Buscar e instalar las ultimas actualizaciones a medida que son desarrolladas
  • Una medida buena seria limitar el acceso de los usuarios a los servicios virtualizados.
  • Si recibes el servicio de virtualización por parte de un proveedor ponte en contacto con ellos y asegúrate de que hayan tomado las medidas necesarias.

Esto es todo por hoy, saludos mis seguros inseguros lectores, hasta el próximo articulo y recuerda si te gusto compártelo y ayúdame a llegar a mas personas.

¿Que es el E-learning y como ha evolucionado la forma de aprendizaje? + “Top 5 E-learning Sites”

Pues el dia de hoy les tengo algo asi como un doble articulo, especificamente hablando un poco sobre el e-learning para luego finalizar con los mejores 5 sitios para estudiar a distancia.

No es ninguna novedad para nosotros la forma en la que Internet vino a revolucionar y cambiar nuestras vidas de una forma que jamas antes imaginamos, esto es tan cierto que cosas como la educación que representa un pilar fundamental en el crecimiento y el desarrollo de cualquier sociedad se ha visto alcanzada por esta magnifica revolución, y es aquí donde inicia el e-learning

¿Que es E-learning?

Pues hace algunos años mencionar educación a distancia, cursos por correspondencia y/o similares significaba un serio cuestionamiento en los conocimientos que podían ser adquiridos por esta via, incluso los departamentos de recursos humanos no tomaban estas formas de capacitación como buenas y validas para el desempeño de cargos dentro de la empresa, pero todo eso termino con la llegada y el auge del Internet.

e-learning

A inicios de los 90 ya existían modelos educativos a distancia usando Internet como plataforma, pero las limitantes de la época no ayudaron mucho para su desarrollo y es así como con la explosión de las nuevas tecnologías nos vimos arropados en una esfera mágica donde la información nos llegaba de todas partes del mundo, multimedia, texto, vídeo conferencias, simuladores remotos y un sin numero de herramientas que pusieron el e-learning a un nivel superior del antes alcanzado.

Según wikipedia E-learning es:

Se denomina aprendizaje electrónico (conocido como ‘e-learning ) a la educación a distancia virtualizada a través de canales electrónicos (las nuevas redes de comunicación, en especial Internet), utilizando para ello herramientas o aplicaciones de hipertexto (correo electrónico, páginas web, foros de discusión, mensajería instantánea, plataformas de formación, entre otras) como soporte de los procesos de enseñanza-aprendizaje.

Y es que Internet ha borrado las lineas imaginarias que dividen los países y nos ha brindado la oportunidad d estudiar casi cualquier cosa a distancia, de una forma totalmente única, en cuanto a los precios podría decir que en la gran mayoría son cursos gratuitos ofrecidos por convenios con importantes universidades como: Harvard, Princeton, Yale, la Universidad de Virginia, la Universidad Hebrea de Jerusalén, la Universidad de la Columbia Británica, la Universidad de Londres y Stanford, entre muchas mas. Mientras que en las pocas veces que se necesite pagar casi siempre son sumas módicas.

Y justo como dice el titulo aquí les dejo los mejores 5 sitios para estudiar a distancia, con cientos de cursos gratuitos.

Academia virtual de Microsoft

Portal de EDX

Udemy

OpenCulture

KhanAcademy

Debo aclarar que la gran mayoría del material se encuentra en idioma Ingles, pero ya a estas alturas todos o casi todos tenemos mas o menos el nivel suficiente para tomar estos cursos, esto es todo por ahora mis respetados lectores, hasta una próxima entrega y recuerden:

Si les gusto por favor comparta la información.

Imposible editar conexiones con NetworkManager

Buen truco para editar conexiones con Network Manager.

Informático de Guardia

editar conexión de red en linux¿Qué harías si tu conexión está mal definida y cuando vas a modificarla te encuentras que el applet de NetworkManager tiene deshabilitada la posibilidad de modificar la conexión de red en tu equipo?

Cierto y verdad es que no suele dar problemas pero, también lo es, que en ocasiones “se le va la pinza” y nos deja con cara de tonto.

Eso es lo que me pasó recientemente en el equipo del Instituto (con “Guadalinex pestoso“) y aquí os cuento cómo resolverlo por si os pasa en alguna ocasión 😉

Ver la entrada original 140 palabras más

“Recorded Future” el ojo que espia tus conversaciones en Facebook.

Tenemos que admitir que la privacidad y la seguridad de nuestras conversaciones tienen un “antes” y un “después” de Snowden, ese ex-analista de la NSA que nos mostró la delicada linea en la que se cruzan la seguridad de las naciones con la privacidad de los usuarios, desde entonces nada ha sido igual, los que alardeaban de una privacidad en sus servicios pasaron a ser mas cuidadosos, los que de por si ya eras desconfiados con la “privacidad” en la red nos convertimos en paranoicos de la criptografia.

Pues resulta que los chicos de Bosnadev estaban testeando una App y la misma se enviaba a través de enlaces mediante mensajes de chat en FB y como todos sabemos los enlaces son verificados antes de ser enviados al destinatario, lo extraño específicamente es el log de conexiones de la misma:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
13.04.2015 22:05:01 2a03:2880:3010:3ff4:face:b00c:0:1
13.04.2015 22:05:02 2a03:2880:3010:3ff6:face:b00c:0:1
13.04.2015 22:05:02 2a03:2880:3010:3ff3:face:b00c:0:1
13.04.2015 22:05:03 2a03:2880:2020:8ff0:face:b00c:0:1
13.04.2015 22:05:03 2a03:2880:2020:8ff2:face:b00c:0:1
13.04.2015 22:05:24 2a03:2880:2020:8ff4:face:b00c:0:1
13.04.2015 22:05:29 2a03:2880:20:3ff1:face:b00c:0:1
13.04.2015 22:05:31 2a03:2880:20:5ff4:face:b00c:0:1
13.04.2015 22:05:32 2a03:2880:20:cff6:face:b00c:0:1
13.04.2015 22:07:58 2a03:2880:11:2ff9:face:b00c:0:8000
13.04.2015 22:07:58 2a03:2880:2130:7ff2:face:b00c:0:1
13.04.2015 22:08:05 2a03:2880:3010:3ff2:face:b00c:0:1
13.04.2015 22:08:06 2a03:2880:3010:3ff5:face:b00c:0:1
13.04.2015 22:08:06 2a03:2880:3010:3ff7:face:b00c:0:1
13.04.2015 22:08:07 2a03:2880:3010:7ff6:face:b00c:0:1
13.04.2015 22:08:42 2a03:2880:20:4ff2:face:b00c:0:1

Desde mi punto de vista son demasiadas direcciones IPv6 para un simple chequeo.

Luego forzaron la creación de un registro de rastreo en IPv4 para una URL recién creada, lo hicieron enviándola por por el chat de facebook y leyendo el log de la URL y el resultado fue conexiones a servidores de nada mas que “Recorded Future” una empresa financiada por Google y por CIA.

En un articulo de Alex Fitzpatrick para Mashable se habla que la compañía se vale de un software que escanea las conversaciones en busca de “Keywords” para generar reportes a sus Sponsors.

Cuando enviamos un enlace usando el chat de Facebook este se busca en los motores de búsqueda y si no esta compartido públicamente entonces se analiza, “solo se analiza lo que nunca ha sido publicado”, en defensa a los resultados ellos simplemente dicen:

…our patented Web Intelligence Engine continuously analyzes the open Web…

Hay que resaltar que el software de vigilancia pone mas énfasis en usuarios que comparten enlaces en los que no existe una relación previa entre perfiles, asi como buscar ciertas frases y patrones de comportamiento encontrados en los records de cybercriminales incluso depredadores sexuales,lo cual me tranquiliza un poco mas, ya que no me están espiando, están cuidándome, preocupándose por mi.

Esto nos lleva a pensar que el mismo miedo de estar inseguros y ser blancos de un ataque no esta llevando al borde de la red, donde estamos dispuesto a sacrificar nuestra privacidad por recibir una pseudo-protección.

Esto es todo por ahora distinguidos lectores, si te gusto mi articulo comparte y ayúdame a llegar a mas personas.

Lectura recomendada:

https://bosnadev.com/

http://mashable.com/2012/07/12/facebook-scanning-chats/

Vulnerabilidad de hace 18 años sin parchear que afecta todas las versiones de Windows.

Saludos distinguidos blogueros,

Pues en los inicios, cuando yo comenzaba a caminar en cuanto a seguridad informática, era yo una especie de fanboy de Metasploit Framework y todas sus herramientas, también recuerdo que todos los tutoriales que habían en la red explotaban una vulnerabilidad de SMB, años después quedo obsoleto pues habían parcheado ese agujero de seguridad en windows XP y posteriores, pero sucede que el hueco tenia múltiples formas de explotarse y es así como 18 años después aun sigue siendo vulnerable.

Recientemente investigadores de Cylance han re-descubierto una vulnerabilidad en el protocolo SMB que permite a los hackers malignos (que conste que no hablo de Chema) robarse las credenciales de usuarios usando tableta, portátiles y/o desde cualquier servidor que este corriendo cualquier version de windows, incluyendo el nuevo y flamante windows 10.

La vulnerabilidad ha sido llamada “Redirect to SMB” y es una variante del bug encontrado por  Aaron Spanglerin en el 1997 quien descubrio que entrando una URL que comenzara con la palabra “file” (por ejemplo file://1.1.1.1/) a Internet Explorer este intentaría autenticarse con el supuesto servidor SMB en la dirección IP 1.1.1.1 usando las credenciales almacenadas en el sistema (user & pass). A pesar de ser un agujero de seguridad reportado por los investigadores este nunca ha sido parcheado por Microsoft quienes afirman que no es un foco de preocupación, y que no sera foco de ataque y  que las probabilidades de ser atacado son mínimas y bla… bla… bla…

Así funciona “Redirect to SMB”

El resultado es una vulnerabilidad que afecta a todas las versiones de Windows, y si hacemos un movimiento mental rápido nos damos cuentas de que tan grande es el problema, y este es el punto donde quizás algunos se pregunten:

“Linux también usa SMB, ¿es vulnerable? “

Pues la respuesta es sencilla:

“Windows integra SMB en el mismo Kernel del sistema, mientras que en Linux no es asi.”

Los investigadores de Cylance han hecho un listado de 31 aplicaciones vulnerables a este fallo, entre ellas:

  • Aplicaciones de amplio uso: Adobe Reader, Apple QuickTime y Apple Software Update that handles iTunes updates
  • Aplicaciones de Microsoft: Internet Explorer, Windows Media Player, Excel 2010, e incluso Microsoft Baseline Security Analyzer
  • Herrramientas de desarrollo: Github para Windows, PyCharm, IntelliJ IDEA, PHP Storm y el instalador JDK 8u31’s
  • Herramientas de seguridad: .NET Reflector y Maltego CE
  • Antivirus Software: Symantec’s Norton Security Scan, AVG Free, BitDefender Free y Comodo Antivirus
  • Team Tools: Box Sync and TeamViewer
Medidas a tomar para protegerse de esta falla?
  • Una de las formas mas sencillas de protegerse es bloqueando el trafico saliente de los puertos TCP 139 y TCP 445 en el router y en el firewall, de esta forma se evitan conexiones a dudosos servidores SMB fuera de nuestra red
  • Se que sonara repetitivo, lo digo en casi todos mis artículos, pero deben mantener actualizado a la ultima versión todo su software, los fabricantes de software generalmente liberan parches tan pronto conocen una vulnerabilidad (aunque Microsoft no la ha hecho después de 18 años)
  • Usar contraseñas fuertes que sean duras de atacar por fuerza bruta.

Información adicional en:

http://blog.cylance.com/redirect-to-smb

http://www.eweek.com/security/redirect-to-smb-attack-can-exploit-windows-users-report-finds.html

Saludos distinguidos blogueros, hasta la próxima. Y si te ha sido útil mi articulo, por favor compártelo.