Parte 1

Mejores prácticas de preparación, prevención y mitigación

del Ransomware y la extorsión de datos

 

Me hago ECO de la actualización (Mayo 2023) de un documento muy interesante que publicó CISA (https://www.cisa.gov) en el 2020, en el que nos marcan una serie de pautas de como debiéramos prepáranos a fin de mitigar y responder ante un ataque de Ransomware.

Os dejo un resumen con los titulares y los puntos que me parecen más interesantes. Al final de la publicación esta el link al documento original y otro para descargar el documento traducido.

 Preparación para incidentes de Ransomware y extorsión de datos 

 

• Mantener copias de seguridad fuera de línea y cifradas de los datos críticos
  • Probar los procedimientos de forma regular
  • Mantener plantillas que permitan reconstruir el sistema.
  • Utilizar una solución multi-nube
  • Almacenamiento inmutable

• Crear, mantener y ejercitar regularmente un plan básico de respuesta a incidentes cibernéticos (IRP) y un plan de comunicaciones asociado que incluya procedimientos de respuesta y notificación para incidentes de ransomware y extorsión/violación de datos
  • Disponer una copia offline e impresa
  • Notificar en caso de robo de información personal
  • Tener desarrollado un plan de respuesta ante incidentes

• Implantar una arquitectura de confianza cero para impedir el acceso no autorizado a datos y servicios. Hacer que la aplicación del control de acceso sea lo más granular posible.

Prevención y mitigación de incidentes de Ransomware y extorsión de datos

 

• Llevar a cabo un escaneo regular de vulnerabilidades para identificar y abordar las vulnerabilidades, especialmente las de los dispositivos orientados a Internet, para limitar la superficie de ataque

• Parchee y actualice periódicamente el software y los sistemas operativos a las últimas versiones disponibles.

• • Priorizar dispositivos con conexiones a Internet

• Asegúrese de que todos los dispositivos locales, de servicios en la nube, móviles y personales (es decir, traiga su propio dispositivo [BYOD]) estén configurados correctamente y que las funciones de seguridad estén activadas.

• Limite el uso de RDP y otros servicios de escritorio remoto.

• • Aplicar bloqueos de cuentas, auditar eventos e implementar 2FA
  • Hacer uso de VPN

• Deshabilite las versiones 1 y 2 del protocolo Server Message Block (SMB)
  • Implementar firma SMB
  • Bloquear cuando se pueda puerto tcp 445 / 137 / 138
  • Registrar y supervisar en busca de comportamiento anómalo 

Vector de acceso inicial: Credenciales comprometidas

 

•  Implantar una MFA resistente al phishing para todos los servicios, en particular para el correo electrónico, las VPN y las cuentas que acceden a sistemas críticos
  • Implementar sistema por 2 o mas factores de verificación (Pin, reconocimiento facial…)

• Considere la posibilidad de suscribirse a servicios de supervisión de credenciales que vigilan la Dark Web en busca de credenciales comprometidas.

• Implantar sistemas de gestión de identidades y accesos (IAM)

• Implantar un control de acceso de confianza cero creando políticas de acceso sólidas para restringir el acceso de usuario a recurso y de recurso a recurso.

• Cambiar los nombres de usuario y contraseñas de administrador por defecto.

• No utilices cuentas de acceso root para las operaciones cotidianas.

• Implemente políticas de contraseñas que requieran contraseñas únicas de al menos 15 caracteres.

• Implementar gestores de contraseñas.

• Aplicar políticas de bloqueo de cuentas después de un cierto número de intentos fallidos de inicio de sesión.

• Almacene las contraseñas en una base de datos segura y utilice algoritmos hash potentes.

• Desactivar el almacenamiento de contraseñas en el navegador en la consola de administración de directivas de grupo.

• Implemente la solución de contraseña de administrador local (LAPS)

• Protección contra el dumping del Servicio de Subsistema de Autoridad de Seguridad Local (LSASS):

• • Implementar la regla de Reducción de Superficie de Ataque (ASR) para LSASS.
  • Implemente Credential Guard para Windows 10 y Server 2016.

• Eduque a todos los empleados sobre la seguridad adecuada de las contraseñas en su formación anual sobre seguridad, haciendo hincapié en no reutilizar las contraseñas y no guardarlas en archivos locales.

• Utilice Windows PowerShell Remoting, Remote Credential Guard o RDP con modo de administración restringido cuando establezca una conexión remota para evitar la exposición directa de las credenciales.

• Separar las cuentas de administrador de las cuentas de usuario
  • Solo utilizar cuantas de administrador con propósitos administrativos que las requeran.

 

Vector de acceso inicial: Phishing 

 

• Implantar un programa de concienciación y formación sobre ciberseguridad para los usuarios

• Marcar los correos electrónicos externos en los clientes de correo electrónico

• Implementar filtros en el gateway de correo electrónico para filtrar correos electrónicos con indicadores maliciosos conocidos

• Habilite los filtros de archivos adjuntos comunes para restringir los tipos de archivos que suelen contener malware y que no deben enviarse por correo electrónico

• Implantación de la política de autenticación, notificación y conformidad de mensajes basada en dominios (DMARC) y verificación para reducir los costes.

• Asegúrese de que las secuencias de comandos de macros están desactivadas para los archivos de Microsoft Office transmitidos por correo electrónico.

• Desactivar el alojamiento de scripts de Windows (WSH).

 

Vector de acceso inicial: Infección de malware precursor 

 

• Utilice actualizaciones automáticas para su software antivirus y antimalware y sus firmas.
  • Utilizar solución antivirus gestionada de forma centralizada

• Utilice listas de aplicaciones permitidas y/o soluciones de detección y respuesta de puntos finales (EDR) en todos los activos
  • WDAC o AppLocker
  • Utilizar listas de aplicaciones permitidas

• Considere la posibilidad de implantar un sistema de detección de intrusiones (IDS)

• Supervise los indicadores de actividad y bloquee la creación de archivos maliciosos con la utilidad Sysmon de Windows.

 

Vector de acceso inicial: Formas avanzadas de ingeniería social

 

• Crear políticas que incluyan formación sobre ciberseguridad
  • Repetir periódicamente la formación

• Implantar un Sistema de Nombres de Dominio (DNS) protector.
  • Bloquear consultas DNS maliciosas

• Considere la posibilidad de implantar navegadores aislados

 

Vector de acceso inicial: Terceros y proveedores de servicios gestionados 

 

• Considerar las prácticas de gestión de riesgos e higiene cibernética de terceros o servicios gestionados.

• Garantice el uso del mínimo privilegio y la separación de funciones a la hora de configurar el acceso de terceros.

• Considere la posibilidad de crear políticas de control de servicios (SCP) para los recursos basados en la nube con el fin de impedir que los usuarios o las funciones, en toda la organización, puedan acceder a servicios específicos o tomar acciones específicas dentro de los servicios.

 

Buenas prácticas generales y orientaciones sobre refuerzo 

 

• Asegúrese de que su organización cuenta con un enfoque integral de gestión de activos
  • Inventariado de activos
  • Conocer cuales son los sistemas más críticos y sus dependencias

• Aplicar el principio de mínimo privilegio a todos los sistemas y servicios
  • Restringir permisos para instalar/ejecutar software
  • Auditar los Controladores de Dominio
  • Auditar de forma periódica en busca de cuentas inactivas o no autorizadas

• Asegúrese de que todas las máquinas virtuales e hipervisores están actualizados.

• Aproveche las mejores prácticas y active la configuración de seguridad en asociación con entornos en la nube, como Microsoft Office 365.

• Mitigar el uso malintencionado del software de acceso remoto y de supervisión y gestión remotas (RMM)

• Auditar herramientas de Acceso Remoto que se estén utilizando

• Emplear medios lógicos o físicos de segmentación de red implementando ZTA y separando varias unidades de negocio o recursos departamentales de TI dentro de su organización y mantener la separación entre TI y tecnología operativa

• Elabore y actualice periódicamente diagramas de red exhaustivos que describan los sistemas y flujos de datos dentro de la red o redes de su organización

• Restrinja el uso de PowerShell a usuarios específicos caso por caso mediante la directiva de grupo.

• • Permitir PS solo a usuarios administradores
  • Permitir solo últimas versiones
  • Activar auditorias sobre su uso (Ps Windows Event” “PS Operational”)
  • Monitorizar estos registros en busca de acciones maliciosas

• Asegurar los controladores de dominio (DC).
  • Realizar auditorias para comprobar la robusted de los mismos
  • Controlar grupos administradores y restringir acceso a los mismos
  • Impedir acceso a Internet.
  • Limitar autenticación NTLM y WDigest
  • Activar EPA (Extended Protection Authentication)
  • Rechazar respuesta LM y NTLM
  • Activar protecciones adicionales para Autenticación LSA para prevenir inyección de código

• Conserve y proteja adecuadamente los registros de dispositivos de red, hosts locales y servicios en la nube.
  • Gestión centralizada de eventos.

• Establezca una línea de base de seguridad del tráfico de red normal y ajuste los dispositivos de red para detectar comportamientos anómalos.

• Realizar evaluaciones periódicas para garantizar que los procesos y procedimientos están actualizados y pueden ser seguidos por el personal de seguridad y los usuarios finales.

 Parte 2

 

Lista de comprobación de la respuesta al Ransomware

 

y la extorsión de datos

Detección y análisis

 

1. Determinar qué sistemas se han visto afectados y aislarlos inmediatamente.
   1. Tener definido un plan para aislar sistemas críticos
   2. Los malos pueden estar monitorizando nuestras acciones para ver si han sido detectados(utilizar otros canales de comunicación)

2. Apague los dispositivos si no puede desconectarlos de la red para evitar una mayor propagación de la infección del ransomware
   1. Solo si no podemos desconectar los equipos de la red para evitar perder evidencias

3. Clasificación de los sistemas afectados para su restauración y recuperación
   1. Priorizar los sistemas críticos a restaurar en base a una lista definida.

4. Examinar los sistemas de detección o prevención existentes en la organización (por ejemplo, antivirus, EDR, IDS, sistema de prevención de intrusiones) y los registros.
   1. Buscar el vector de entrada y bloquearlo
   2. Estar seguridad de erradicar el malware antes de restaurar sistemas.

5. Reúnase con su equipo para desarrollar y documentar una comprensión inicial de lo ocurrido basada en el análisis inicial.

6. Iniciar actividades de caza de amenazas.

1. 1. Cuentas AD recién creadas privilegiadas
   2. Inicios sesión VPN sospechosos
   3. Uso indebido de herramientas de sistema
   4. Evidencias de herramientas C&C
   5. Uso de Powershell
   6. Enumeración de Credenciales
   7. Comunicaciones inesperadas
   8. Indicios de filtración de datos
   9. Servicios Recién creados, tareas programadas, software instalado…
   10. En la nube
       1. Detectar modificaciones en los recursos

 Informes y notificaciones

 

7. Siga los requisitos de notificación descritos en su plan de comunicación y respuesta a incidentes cibernéticos para involucrar a los equipos internos y externos y a las partes interesadas con una comprensión de lo que pueden proporcionar para ayudarle a mitigar, responder y recuperarse del incidente.
   1. Compartir información y mantener informadas a todas las partes de forma periódica
   2. Notificar el incidente a los organismos que competan.
   3. Recuperar todas la evidencias (archivos maliciosos, RAM,registros, IOC…)

8. Si el incidente ha dado lugar a una violación de datos, siga los requisitos de notificación establecidos en sus planes de comunicación y respuesta a incidentes cibernéticos.

 

Contención y erradicación

 

9. Tomar una imagen del sistema y una captura de memoria de una muestra de dispositivos afectados. (por ejemplo, estaciones de trabajo, servidores, servidores virtuales y servidores en la nube).

10. Consulte a las fuerzas de seguridad federales, incluso si es posible adoptar medidas paliativas, sobre los posibles descifradores disponibles,

 

Seguir tomando medidas para contener y mitigar el incidente

 

11. Busque orientaciones fiables para la variante concreta de ransomware y siga los pasos adicionales recomendados para identificar y contener los sistemas o redes que se haya confirmado que están afectados.

12. Identifique los sistemas y cuentas implicados en la violación inicial.

13. Sobre la base de los detalles de la violación o compromiso determinados anteriormente, contener los sistemas asociados que puedan utilizarse para un acceso no autorizado posterior o continuado.

1. 1. Desactivar redes virtuales, accesos remotos…

14. Si una estación de trabajo infectada está cifrando datos del lado del servidor, siga los pasos de identificación rápida del cifrado de datos del lado del servidor.
    1. Revisar las sesiones de quien esta accediendo
    2. Revisar los eventos

15. Realizar un análisis ampliado para identificar los mecanismos de persistencia «outside-in» y «inside-out»

16. Reconstruir los sistemas basándose en la priorización de los servicios críticos

17. Emitir restablecimientos de contraseñas para todos los sistemas afectados y abordar cualquier vulnerabilidad asociada y brecha en la seguridad o visibilidad una vez que el entorno haya sido completamente limpiado y reconstruido,

18. La autoridad de TI o de seguridad de TI designada declara el incidente de ransomware finalizado en función de los criterios establecidos, que pueden incluir la adopción de las medidas anteriores o la búsqueda de ayuda externa. 

 

Recuperación y actividad posterior al incidente

 

19. Reconectar los sistemas y restaurar los datos a partir de copias de seguridad encriptadas fuera de línea, basándose en una priorización de los servicios críticos.

20. Documentar las lecciones aprendidas del incidente y de las actividades de respuesta asociadas

21. Considere la posibilidad de compartir las lecciones aprendidas y los indicadores de compromiso relevantes

Fuente Original: https://www.cisa.gov/sites/default/files/2023-05/StopRansomware_Guide_508c%20%281%29.pdf

Documento traducido: StopRansomware_Guide_508c-ES

El año pasado Mapfre tuvo la mala fortuna de sufrir un incidente de Seguridad, pero al mismo tiempo supo gestionarlo de una forma diligente y transparente.

Después de leer la resolución de la Agencia española de protección de datos del ciberincidente que sufrió, me tomo la libertad de resumir en un pequeño cronograma la información que se refleja en el informe a fin de que todos nos podamos aprovechar del buen trabajo realizado.

Por razones obvias no es sencillo encontrar tanta transparencia en este tipo de incidentes.

Este ejercicio lo veo como una forma de tomar conciencia de lo «sencillo» que puede ser el sufrir un vector de entrada de este tipo y las consecuencias que vienen derivadas del mismo.

Creo que es inteligente el asumir que cualquier empresa puede sufrir un ataque de este tipo, y en la medida de las posibilidades de cada una, debemos intentar controlarlo, mitigarlo y resolverlo de la manera más eficiente.

Es importante al menos tener constancia de que este tipo de incidentes suceden en el mundo real más a menudo de lo que nos gustaría. La técnica del avestruz no funciona muy bien en estos casos, ni tampoco el pensar el que uno nunca va a ser blanco ante este tipo de ataques.

1 Agosto

• Se captura contraseña de una colaboradora (posiblemente equipo personal infectado por campaña phishing)
• Esa contraseña permite acceso al puesto virtual

1-7 Agosto

• Accesos desde distintos países a otros servidores para recoger credenciales de usuarios privilegiados
• Se obtiene credenciales de usuario privilegiado

1-11 Agosto

• Se analiza la red, servidores de ficheros y recursos compartidos
• Se intenta Exfiltración de datos (bloqueado por Mapfre)

14 Agosto

• Atacante distribuye ejecutable map.exe asociado al Ransomware Ragnar Locker a los servidores
• Se ejecuta de forma remota el archivo
• Se identifica con la monitorización y se activa el protocolo de alto impacto.
• Se abre el procedimiento de gestión de incidentes
• Se activa el comité de crisis
• Se activan los planes de continuidad de negocio
• Se activa call permanente con personal del área de seguridad y tecnología
• Se detecta ataque de Ransomware y se dan instrucciones para contener y evitar la propagación
• Apagar todos los servidores no imprescindibles
• Sacar de línea la copia de Backup y aislar segmentos de red
• Cortar conexiones desde Mafre hacia el resto de las empresas
• Limitar el número de conexiones remotas a un reducido número de usuarios
• Se informa de la situación a los responsables de seguridad de los principales socios

15 agosto

• Empezar a recuperar puestos de trabajo y se mantiene activo el comité de crisis para continuar con toma decisiones
• Se confirma la integridad y disponibilidad del Backup
• Se trabaja en la estrategia para recuperar los servicios
• Se busca apoyo en terceras empresas
• Resetear contraseñas de administradores y reducir usuarios admin
• Se aumentan las capacidad de monitorización, detección y respuesta
• Se consigue identificar y aislar el malware, se envía para análisis
• Se trabaja con el proveedor antivirus para que este garantice que se detecta el malware enviado
• Llega personal de refuerzo a los Contact Center para atender a los clientes
• Se contacta con Incibe (Instituto Nacional de CiberSeguridad) y CCN-CERT (Centro criptológico Nacional) para informar del ciberataque
• Se publica en la Web un comunicado del ciberataque

16 Agosto

• Se notifica el incidente a la AEPD (Agencia Española de Protección de Datos)
• Se levantan nuevos puestos de usuario y se abren las comunicaciones con terceros informándoles

17 agosto

• Se presenta denuncia ante las Fuerzas y cuerpos de seguridad del estado
• Se refuerzan las medidas de seguridad entre las que se encuentran el utilizar el 2FA (Doble factor de autenticación)

19 Agosto

• Se despliegan nuevas medidas de seguridad e instalar agentes en los equipos que avisen de afectación o persistencia del virus

20 Agosto

• Se empiezan a distribuir con terceros los IOC (Indicadores de compromiso)

23 agosto

• Se coordina la implantación de las acciones de refuerzo en el resto de los países

01 Septiembre

• Todos los puestos están operativos

13 Septiembre

• Estar prácticamente todos los elementos de la red restaurados

21 septiembre

• Nueva comunicación con la AEPD para informar

23 Septiembre

• Todos los equipos en toda la organización recuperados. Finalizan las investigaciones y se da la red como segura

12 Octubre

• Se da por cerrada la recuperación de los puestos de los proveedores

26 Octubre

• Se comprueba los últimos servidores y se concluye que los atacantes no tienen acceso a ninguno de estos

28 Octubre

• Comunicación AEPD de que se ha cerrado la brecha de seguridad tras análisis forense.

13 Noviembre

• Se confirma erradicación de cualquier credencial que los atacantes pudieran haber utilizado.

CAUSAS HICIERON POSIBLE LA BRECHA

• Los atacantes crearon una muestra indetectable para el software antivirus de la compañía
• Uso de herramientas sofisticadas de hacking
• Aumento de la superficie de exposición al trabajar desde casa con equipos personales lo que permitió comprometer una cuenta para acceder a la red

MEDIDAS MITIGACIÓN

• En primera instancia para evitar la propagación al resto de la red se aislaron varios segmentos de la misma.
• Se pagaron sistemas ( esto supuso una degradación y pérdida temporal del servicio)
• Se activó el plan de continuidad del negocio
• Convocar el comité de crisis
• Se abrió un línea de trabajo para restauración de los sistemas (participan proveedores)
• Restablecer los servicios más críticos
• Desde la primera noche se contactó con CCN-CERT e INCIBE y denunciar a la Guardia Civil
• Contactar con fabricantes de seguridad para establecer un plan de refuerzo
• Refuerzo en la detección de los ataques en política Antivirus
• Mejorar la protección AntiSpam
• El uso por todos de 2FA
• Incrementar las capacidad de monitorización y respuesta ante incidentes
• Aumentar las restricciones para navegar por internet
• Incluir los IOC en todas las plataformas y filtros de Seguridad
• Mejorar la prevención de ataques DDoS
• Incrementar el nivel de control de los usuarios administradores

DATOS AFECTADOS

• IdUsuario + contraseña (Datos básicos)

COMUNICADOS

• Comunicar públicamente la situación a las pocas horas de conocerla
• Comunicado en la Web
• Locución en el Contact Center
• Mensaje en Redes Sociales
• Comunicados a empleados
• Comunicados a la AEPD

MEDIDAS IMPLANTADAS CON ANTEIORIDAD A LA BRECHA

• Gestión de identificadores de los usuarios (Exponer al mínimos datos personales)
• Para posibilidad trabajar en remoto se realizó un plan de Reconfiguración de CiberSeguridad
• Se definió un plan de auditorías

MEDIDAS POSTERIORES

• Comprobar la creación de un Golden Ticket.
• Erradicar cualquier puerta trasera en ese sentido que se pudiera haber generado

AEPD

• Determina si se disponían de medidas de seguridad razonables
• Si existen auditorias para el cumplimiento de la RGPD
• La información que se ha Exfiltrado y si esta estaba protegida.
• El volumen de información Exfiltrada, y los mecanismos para evitar el mismo
• Valora rápida actuación, notificaciones y comunicaciones a clientes proveedores y empleados

Informe AEPD

Desde diversos medios se advierte de una campaña muy agresiva del Ransomware «BitPaymer» que esta afectando a importantes empresas Españolas.

Adjunto detalle de la incidencia publicada desde el Blog Segu-Info

Varias empresas españolas infectadas con Ransomware (Cadena SER, Everis y Prisa Radio)

Desde Hispasec nos advierten de la vulnerabilidades tanto de Microsoft Teams como de Google Chome

Tambien desde el mismo medio se advierte de un 0-day en Google Chrome que está siendo explotado

Vulnerabilidad en Microsoft Teams permite la descarga y ejecución de paquetes maliciosos

Desde el grupo de seguridad ITS se recomiendan una serie de medidas a fin de mitigar este tipo de riesgos.

MEDIDAS A TOMAR:

1. A NIVEL PERIMETRAL:
   • No disponer de ningún servidor RDP publicado a internet.
   • No disponer de ningún servicio SMB expuesto al exterior.
   • Si es necesario proporcionar este servicio, usar redes VPN para dar acceso a terceros a estos servicios y siempre limitando muy bien los orígenes y los destinos de las conexiones. El uso de equipos de salto o pasarelas pueden ayudar mucho en estas labores.
   • Dado que se expande mediante el mismo protocolo, se recomienda limitar este acceso entre las redes de la organización. Además, si se dispone de Firewall en los propios servidores, se recomienda cortar o, en su defecto, limitar las conexiones permitidas para estos servicio en los propios servidores.
2. MONITORIZACIÓN Y PROTECCIÓN DE SISTEMAS:
   • Se recomienda monitorizar tráfico RDP o SMB no autorizado.
   • Se recomienda deshabilitar los equipos de Microsoft Teams en los equipos corporativos.
   • Se recomienda tener todos los equipos, especialmente aquellos expuestos a internet, al último nivel de parcheado.
   • Se debería impedir la ejecución por directiva de dominio de comandos de POWERSHELL.
   • Para evitar afecciones en usuarios con privilegios, se recomienda restringir el acceso a usuarios administradores en equipos locales y el uso de administradores locales diferentes en cada equipo, por ejemplo mediante LAPS.
   • Por último, se recomienda realizar un comunicado interno indicando la situación actual y que todos los empleados tengas especial cuidado en la apertura de correos o mensajes de Skype o Teams.

Si normalmente debemos de estar atentos, en en este caso debemos de extremar nuestras precauciones.

 

Después de este periodo de inactividad cuyo único culpable ha sido el veranito, volvemos a la carga al igual que la moda en la temporada Otoño-Invierno, con ocasión de hablar sobre un programita llamado Tcpdump.

Hablar de Tcpdump, es hablar de uno de los analizadores de paquetes de red más conocidos e importantes en lo que a línea de comandos en entornos Unix se refiere. Su  principal función es la de analizar el tráfico que circula por la red. Este programita ya viene del lejano 1987, época en la que  sus autores Van Jacobson, Craig Leres y Steven McCanne trabajaban de la mano en el Lawrence Berkeley Laboratory Network Research Group, siendo este ampliado por Andrew Tridgel..

Seguro que rápidamente lo relacionáis con el término Sniffer. Hablar de  Sniffers,  analizadores de red o analizadores de paquetes es hablar de un tipo de software que  nos va a permitir  realizar capturas de tráfico en nuestra red para posteriormente poder realizar un análisis de la información recogida.  Se trata de configurar nuestra tarjeta de red en un modo denominado promiscuo, que nos permita no solo escuchar los paquetes que vienen destinados a nosotros, sino que se trata de escuchar todo el tráfico que se genera en la red. Vamos… lo que se viene a denominar un cotilla. Poner la oreja a ver si cae algo que nos interese.

¿ Para qué sirven entonces este tipo de programas ?. Ciertamente  no es una pregunta dirigida a los administradores de redes. Eso seguro!. Para ellos se trata de herramientas indispensable en su labor diaria.

Leer más…

Hablar de Nmap, es hablar de Gordon Lyon-Fyodor, y de una de las herramienta por excelencia en lo que a exploración de redes y puertos se refiere.

Vamos a empezar definiendo diferentes tipos de escaneos que podemos realizar:

1. Escaneos de redes :Este tipo de exploración nos va permitir conocer los dispositivos conectados en la red a estudiar.
2. Escaneos de puertos:  Una vez identificadas las máquinas, nos va a permitan descubrir puertos abiertos en las mismas. A partir de ese momento intentaremos descubrir los servicios que se están ejecutando y obtener datos que nos ayudarán a identificar el tipo de Sistema Operativo, las aplicaciones, versiones de las mismas…
3. Escaneos de vulnerabilidades: Encontrar servicios vulnerables que sirvan como punto de entrada en los sistemas.

Tratamos por lo tanto que buscar las máquinas, ver los servicios que hay corriendo en ellas, y encontrar algún punto vulnerable por el que poder colarnos.

Debemos tener cuidado, ser cautos y no fiarnos de los resultados. A explicarse se ha dicho… Podríamos encontrar una maquina con el puerto 80 abierto. Suponemos que sobre el mismo debería de haber corriendo un servidor web, pero en realidad podemos  tener cualquier tipo de servicio detrás de ese puerto (Anexo). Realizar varios chequeos y estudiar la información devuelta con lupa. Es aquí cuando empezamos a hablar de lo que se conoce como Fingerprinting. Algo así como determinar la versión y tipo de sistema operativo que se encuentra corriendo en el Host.

Nmap es una herramienta que a día de hoy nos va permitir realizar todo esto, pero donde verdaderamente ha venido centrando su potencial, es el escaneo de redes y puertos, aunque con las nuevas funcionalidades de Scripting (NSE) vamos a ver como sacarle todo su potencial.

Leer más…

Hoy vamos a dar una serie de consejillos para securizar nuestro Joomla. Es seguro todos sabéis que se trata de un gestor de contenidos (evolución de Mambo) programado sobre PHP, que nos va a permitir de una forma sencilla generar arquitecturas Web adaptadas a nuestras necesidades.

Se trata de un entorno con mucho potencial a la hora de dotar a nuestra web de nuevas funcionalidades a través de sus  complementos , módulos y plugins… que nos permitirán instalar miles de extensiones, disponiendo así de una plataforma rápida en su puesta en marcha y sencilla en su mantenimiento.

Generalmente se tratará de una instalación sobre maquinas Linux, junto con Apache y Mysql como repositorio de datos, aunque ya sabemos que esto no tiene por que ser siempre asi:).

Al basarse principalmente en PHP, vamos a dar alguna recomendación a la hora de configurarlo.

Procedemos a editar el fichero de configuración. Al trabajar sobre la versión 5:

# vi /etc/php5/apache2/php.ini

Leer más…

Hoy vamos a empezar securizando, o al menos intentar convertirlo en algo más seguro, a nuestro tan querido y aclamado servidor HTTP Apache,. Quizás el escritorio se le resista al pinguino, pero donde si puede sacar pecho y estar orgullo es el la parte de los servidores.

Como punto de partida vamos a tratar de evitar el que ofrezca mucha información a los amigos de lo ajeno. Aunque resulta complicado el ocultar su identidad, hemos de intentar ofuscar información que pueda ayudar a los atacantes.

—– Empezamos por redirigir los errores a la pagina inicial de nuestro site, evitando así mostrar información no deseada.

ErrorDocument 403 /inicio/
ErrorDocument 404 /inicio/

—– Evitar que nuestro servidor revele información relativa a su versión modificando los siguientes parámetros :

#vi /etc/apache2/apache2.conf

ServerTokens Prod: Eliminar información relativa a la versión del Apache.
ServerSignature Off: Evitar el envio de información sobre la versión del servidor en las páginas de error.
ErrorDocument numError errores/paginaError.html: Esta directiva permite cambiar las páginas de respuesta de errores.

Leer más…

Vamos a empezar securizando un poco nuestro pinguino. Recordar que esto es un proceso diario, y las fuerzas del mal son muy oscuras y requieren de un trabajo diario. Debemos tener muy en cuenta aquello de que …. es mejor prevenir que curar.

1.- EMPEZAMOS PERSONALIZANDO NUESTRA SHELL.

Editamos /etc/bash.bashrc,

#vi  /etc/bash.bashrc

Y añadimos lo siguiente al fichero:

# enable bash completion in interactive shells
if [ -f /etc/bash_completion ]; then
. /etc/bash_completion
fi

alias mv=’mv -i’
alias cp=’cp -i’
alias rm=’rm -i’
alias ln=’ln -i’
export TMOUT=3600

Leer más…

Traceroute (traceroute6 en IPv6), se trata de una herramienta de diagnostico escrita originalmente por Van Jacobson la cual nos va a venir de lujo no solo para poder trazar mapas de red, sino para detectar diferentes problemas de red ( rutas, latencias…..).

A través de este articulo vamos a poder comprobar como se comporta Traceroute sobre todo en sistemas Unix, enviando datagramas UDP a puertos destino que pueden variar desde el 33434 al 33534, aprovechándose del valor del campo TTL presente en las cabeceras IP. TTL (Tiempo de vida-8bits), va a ser el que determine el numero máximo de saltos por los que van a pasar los paquetes antes de ser descartados.

Básicamente, cuando un dispositivo (Ejem: Router) recibe el paquete este decrementa el TTL en 1 unidad. Si el nuevo valor se convierte en 0, el paquete es descartado. Si realizamos estas mismas pruebas sobre un entorno Windows, este enviará mensajes ICMP (Echo Request) pero la lógica va a ser la misma.

Ya hablaremos en artículos posteriores del el uso de Sniffers para trafico de red, pero para que nos vayamos familiarizando vamos a ver de forma real a través de capturas de lo que estamos hablando.
Leer más…

Vamos a continuar donde lo dejamos. La verdad es que últimamente mi vida gira en torno a una ausencia completa de tiempo libre, pero vamos a intentar seguir comentando cosillas.

Para ir profundizando un poquito, vamos tomar una empresa real. La primera que nos venga a la cabeza. Una de las grandes que ahora mismo se me ocurre podría ser El Corte Inglés. Una vez marcado el punto de partida vamos a comprobar lo sencillo que puede llegar a ser obtener información tal como rangos de direcciones públicas, trazas mapas de red, nuevos dominios…..

¿Y si nos intentamos explicar mejor?.
Leer más…