Pages

Ads 468x60px

miércoles, 31 de diciembre de 2014

Las entradas más vistas




Os quería dejar un pequeño resumen de las entradas que más habéis visto en este blog.

La más vista ha sido:

Eliminar programa desde CMD vista 22.933 veces desde el día 14 de Enero de 2013.

La siguiente más vista ha sido:

Vulnerabilidad en Facebook permite ver la lista de amigos ocultos Una noticia de Irene Abezgauz del 23 de noviembre de 2013, vista 21.248 veces.

La tercera entrada más vista ha sido: 

Deshabilitar programas con MSCONFIG en Windows 8 vista 18.210 veces desde el día 10 de Julio de 2013.

Os dejo la gráfica de las entradas mas vistas.






Gracias a todos por las visitas!! Feliz año 2015.


Roberto García (@1GbDeInfo)

Tip rápido para quitar servicios que no usamos (Debian)



Ultimamente estoy escribiendo pequeños trucos para hacer más robusto nuestro sistema Linux. Hace poco vimos como "hardenizar" SSH, como instalar Fail2Ban, Incluso algunos tips para usuarios
Bien, pues hoy vamos a ver que podemos hacer tras una instalación limpia de Debian.

Para ver que servicios están escuchando usamos:

     netstat -putan |grep LISTEN

Lo que nos devuelve algo como esto.

lunes, 29 de diciembre de 2014

Tips For Linux Users (security)




Siempre tengo que oír los típicos comentarios: "en Linux no hay malware", "Linux es seguro", "Linux no necesita antivirus"... y nada más lejos de la realidad. Linux SI tiene malware, Linux SI tiene vulnerabilidades, y Linux SI tiene antivirus (por algo será).  

Nosotros vamos a continuar añadiendo algo de seguridad a nuestros equipos Linux.

viernes, 26 de diciembre de 2014

How to: proteger SSH con Fail2Ban (Debian)




Si hace poco os mostraba como securizar SSH mediante el archivo de configuración sshd_config, hoy vamos a retomar el tema, pero instalando Fail2Ban.

Fail2Ban es una herramienta de código abierto que nos permite bloquear los ataques externos hacia nuestro servidor.

El método que usa para funcionar consiste en revisar los logs de autenticación fallidos y según las reglas que hayamos establecido, podemos "banear" la IP del atacante. También nos puede ayudar a la hora de mitigar los taques DoS o de denegación de servicio.

miércoles, 24 de diciembre de 2014

Felices fiestas


Pues eso, que felices fiestas y que lo paséis todos muy bien y sin excesos xD.
Gracias un año más por seguir leyéndome.

Foto: http://profesorbaker.com/


Roberto García (@1GbDeInfo)

martes, 23 de diciembre de 2014

Hardening SSH



El protocolo SSH (Secure Shell) sirve para poder acceder a maquinas de manera remota tanto en la red local, como hacia el exterior, permitiendo así manejar todos tus equipos.

Bien, hecha esta pequeña introducción, vamos a ver como podemos hacer más seguro nuestro acceso. En el ejemplo uso Debian 7.

SSH por defecto utiliza el puerto 22, pero este ya es conocido por todos, y además utilizados en numerosos ataques. 
Entonces, lo primero que debemos hacer es solucionar eso.

sábado, 6 de diciembre de 2014

Presentación del Cybercamp sobre los peligros de Internet


Os dejo los slides de la charla que dimos ayer Jaime Álvarez y yo en el Cybercamp.




Roberto García (@1GbDeInfo)


lunes, 24 de noviembre de 2014

Charla en la URJC de Mostoles



El Miércoles 19 de Noviembre tuve el placer de impartir una pequeña charla en la Universidad Rey Juan Carlos de Mostoles junto a mi compañero de viajes (entre otros) Jaime Álvarez
En ella, volví a hablar sobre la importancia de la seguridad en las contraseñas.

Creo que la charla gustó, nos echamos unas risas y además creo que la gente se dio cuenta de la importancia de las contraseñas. A todos les quedó claro que no puedes ir por la vida usando contraseñas como 123456, iloveyou o $$$$$$. Pero lo que es aún más importante, quedó claro que hay que usar el doble factor de autenticación, que es lo que realmente te va a ayudar.

Os dejo el Power Point aunque sé que lo que en él cuento ya está trillado y lo sabéis todos, ¿o no?

Quiero dar las gracias una vez más a Pablo González de Fluproject por acordarse de mi para la charla.






Roberto García (@1GbDeInfo)

jueves, 20 de noviembre de 2014

IV ESET Security Forum


Os quiero dejar una nota de prensa que me pasan desde ESET para que podáis asistir al IV ESET Security Forum, en el que tendré el enorme placer de compartir mesa con los grandes profesionales de la seguridad informática de este país.

ESET Security Forum

Se acerca la Navidad y no queríamos dejar pasar 2014 sin celebrar el que va a ser el último ESET Security Forum de este año. Además, en esta ocasión, aprovecharemos para entregar los Segundos Premios Nacionales a los Héroes Digitales, y compartiremos con todos los asistentes una suculenta cena.

El ESET Security Forum es un foro de carácter meramente informativo y social donde juntamos a lo mejor de este país relacionado con la seguridad informática y charlamos acerca de lo que está sucediendo en el mundo de la ciberseguridad. Esta edición viene de lo más calentita. Estará dividida en dos partes: la primera, dedicada a la seguridad corporativa, y la segunda, a los menores y a la privacidad. Como no podía ser de otra manera, tenemos a un montón de invitados de excepción que nos han dado el “sí quiero” para compartir esta ocasión con nosotros, a los que agradecemos enormemente su participación.

El evento tiene una duración de 3 horas y tendrá lugar Espacio Fábula (Avda. Pablo Iglesias esq. Avda. Islas Filipinas, dentro del Campo de Golf de Canal de Isabel II. Madrid) La asistencia es totalmente gratuita, pero el aforo es limitado, así que si quieres asistir y pasar un buen rato con nosotros, necesitamos que por favor confirmes tu asistencia rellenando este formulario.
Esta es la tercera edición que organizamos, ya que las anteriores han tenido un gran éxito de público y una gran repercusión. Puedes ver un resumen de las mismas en el portal del forum.

¿A quién traemos en esta ocasión? Pues a lo mejorcito del panorama de la seguridad tecnológica nacional:
  • Marc Rivero, responsable eCrime en Barcelona Digital y profesor universitario.
  • Juan Antonio Calles, CEO de Zink Security, Co-fundador de Flu Project, miembro de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica (ANCITE) y ponente habitual en diversos foros y congresos de seguridad, entre los que se encuentran No cON Name, RootedCon, HomeSec y SID.
  • Pablo Fernández Burgueño, abogado de ciberseguridad y privacidad en la Red. Socio cofundador de Abanlex, bufete de Derecho Tecnológico
  • Angel-Pablo Avilés, el editor de “El Blog de Angelucho” que nace como contribución a la información, educación y concienciación sobre seguridad básica en la red. Componente del Grupo de Delitos Telemáticos de la Guardia Civil.
  • Pedro Candel (s4ur0n), profesional docente del equipo de CyberSOC Academy de Deloitte y co-organizador del Congreso Navaja Negra.
  • Roberto GarcíaCuenta con más de 10 años de experiencia como Administrador de sistemas Windows. Es MCSA de Microsoft.
    Ha impartido varias charlas en los últimos años sobre seguridad informática.
    Desde hace 4 años lidera una iniciativa llamada X1Sonrisa en la que recauda juguetes para los niños.
    Es autor del blog 1gbdeinformacion.com, colaborador en el programa de radio Ventanas a la red y ganador del 1er premio “Héroe Digital” de ESET.
  • Daniel García (crOhn), auditor de seguridad senior, pentester e investigador. Co-organizador del Congreso Navaja Negra.
  • Deepak Daswani, responsable de investigación en ciberseguridad en INCIBE (antes Inteco).
  • Marcos García Gómez, subdirector, Director de Operaciones en INCIBE (antes Inteco).
  • Josep Albors, director de comunicación y responsable del laboratorio de ESET España. Profesional con más de 8 años de experiencia en el mundo de la seguridad informática, es también editor en el blog de ESET España y colaborador en múltiples publicaciones relacionadas con la seguridad de la información.
Esperamos contar contigo en este evento y poder compartir así buenos momentos. Recuerda que es necesario que te registres previamente para reservar tu plaza, que es totalmente gratuita.


Espero que nos veamos allí.


Roberto García (@1GbDeInfo)



lunes, 10 de noviembre de 2014

Solo como prueba de concepto. Ingeniería Social (otro phishing más)




El otro día hablando con un compañero de trabajo (un saludo Geranio :P) sobre "técnicas de ingeniería social"  me dio una idea para trastear un rato.

La idea era sencilla, como no quería complicarme demasiado, y ahora que está de moda el tema de la crisis y con ella la morosidad, se me ocurrió hacer un correo (phishing) diciendo lo siguiente.



Como veis, el engaño era manifiesto, ya que como señalo en la imagen, no me molesté en absoluto en camuflar ni faltas de ortografía, ni de poner el logo de Pepsi rotado.
Además, al pasar el ratón por encima de los enlaces, se pueden ven claramente el subdominio al que apuntaba dicho enlace.

Iba a poner una imagen del logo de Iberdrola y Gas Natural para darle un toque "más pro", pero quizá me hubiese metido en un lío al usar imágenes de empresas para esto.

Analizando fríamente el asunto, cualquiera podría darse cuenta del engaño, pero creo que al jugar con el tema de facturas sin pagar y la morosidad, la gente, con un nudo en la garganta, pincha donde sea con tal de averiguar que ha pasado.

El mail fue enviado para más inri desde una cuenta de correo de esas que duran minutos, así que, si hubiesen mirado el remitente o las cabeceras de los correos como nos explica Angelucho perfectamente aquí, no habrían caído.

Este "correo" fue enviado a un total de 500 personas y... bueno, una imagen vale más que mil palabras. (El periodo de tiempo ha sido del Viernes 7 de Noviembre - 18:30 al Domingo 9 - 0:00)




Como digo siempre, hay que desconfiar de TODO, ya que cualquiera nos la puede liar. 
En este caso como hago siempre, la web solo disponía de un contador para ver el número de personas que visitaban el enlace, pero de forma similar es como se montan los "grandes phishing", en los que se pueden ver afectados tus credenciales, por poner un ejemplo.

Ahora solo me queda una duda, las 65 personas que no visitaron el enlace, fue porque no vieron el correo?, porque analizaron cabeceras o vieron a donde iban los enlaces?, porque buscaron en Google la empresa y vieron que no existía ni el dominio ni dicha empresa?

Os recomiendo visitar el blog de Angelucho, donde te explica todo sin unos ni ceros, para que cualquier persona sin conocimientos se pueda sentir más segura.

Tened cuidado con los enlaces, ya tenéis un poco más de información sobre como proceder.


Roberto García (@1GbDeInfo)

lunes, 3 de noviembre de 2014

Instalar SquirrelMail en Debian 7 II (instalación)




Continuando con la entrada del otro día, en la que comenzábamos con la instalacion del servidor LAMP, vamos esta vez a ver la instalación en sí de SquirrelMail.    

SquirrelMail es un webmail que te permite revisar el correo que tengas en un servidor mediante cualquier navegador. No vamos a entrar en si es o no seguro usar webmail, nos centraremos únicamente en su instalación.

Lo primero que vamos a hacer es actualizar el sistema, para ello:

     apt-get update && apt-get upgrade

Como SquirrelMail esta disponible en los repositorios, podemos instalarlo fácilmente con: 

     sudo apt-get install squirrelmail

Necesitamos un archivo de host virtual para permitir que el servidor web sepa donde visualizar los archivos al acceder desde Apache. Vamos a usar el archivo por defecto de SquirrelMail, moverlo al directorio de Apache  y configurarlo para su uso en nuestro sistema.
Este archivo se encuentra en la ruta:

     /etc/squirrelmail/apache.conf

Hay que copiar dicho archivo a la carpeta sites-available con el comando:

     cp /etc/squirrelmail/apache.conf /etc/apache2/sites-available/squirrelmail.conf

Lo siguiente será editar el archivo para "descomentar" la linea VirtualHost 1.2.3.4:80. Hay que cambiar también el servername y la IP para que coincida con la configuración y/o el demonio. (Revisa todo bien para tu propia configuración).

      vi /etc/apache2/sites-available/SquirrelMail.conf

Ahora creamos un enlace simbólico al archivo en la carpeta sites-enabled con: 

     ln -s /etc/apache2/sites-available/squirrelmail /etc/apache2/sites-enabled/

Actualizamos Apache con el comando:

     service apache2 reload

Si todo ha ido bien, y tras navegar a http://localhost/squirrelmail deberíamos poder ver esto:




Antes de entrar a SquirrelMail por primera vez debemos configurarlo. Hay un menú que nos va a ayudar a la hora de hacerlo. Simplemente escribimos en la consola:

squirrelmail-configure

Y nos aparece dicho menú.





Aquí tenemos muchas opciones para configurar y obviamente solo vamos a ver la más importante, lo demás lo dejo para que lo reviséis y lo modifiquéis a vuestro gusto.

Vamos a ver el punto dos referente a las opciones del servidor.

Pulsamos 2 y al dar a intro nos aparece una nueva pantalla.




Tendremos que ajustar el Domain, Imap y SMTP para que coincida con el servidor de correo al que queremos conectarnos.

Esto mismo podemos hacerlo desde el propio archivo de configuración si no eres muy amigo de los menús. Solo hay que editar el archivo /etc/squirrelmail/config.php y podrás hacerlo desde ahí.





Como veis en la anterior imagen, tenemos las mismas opciones.

Llegados a este punto, ya deberíamos poder acceder a SquirrelMail usando las credenciales del correo electrónico. Para ello, deberéis tenerlo conectado al servidor de correo, sino no podrás iniciar sesión.






Roberto García (@1GbDeInfo)

miércoles, 29 de octubre de 2014

Instalar SquirrelMail en Debian 7 (servidor LAMP) I





Vamos a ver paso a paso como podemos instalar SquirrelMail en Debian 7.

Lo primero que vamos a hacer es actualizar el sistema, para ello:

     apt-get update && apt-get upgrade

Una vez que esté todo actualizado, comenzamos por instalar Apache + PHP + Mysql. Usaremos el siguiente comando:

      apt-get install apache2

Ahora editamos el archivo de configuración principal de Apache a fin de ajustar la configuración del uso de recursos.

     vi /etc/apache2/apache2.conf

Y lo dejamos así:



Ahora vamos a configurar el alojamiento virtual para que podamos alojar múltiples dominios (o subdominios) en el servidor. Estos sitios web pueden ser controlados por diferentes usuarios, o por uno solo.

Hay diferentes formas de configurar hosts virtuales, aunque yo os recomiendo el siguiente método. Por defecto, Apache escucha en todas las direcciones IP disponibles.

En primer lugar, debemos crear un archivo en el directorio /etc/apache2/sites-available para cada host virtual que se quiera configurar.

     vi /etc/apache2/sites-available/example.com.conf



[A tener en cuenta.
Deberemos tener creados los directorios siguientes:
     mkdir -p /srv/www/example.com/public_html
     mkdir /srv/www/example.com/logs 
Acto seguido, lanzaremos el siguiente comando:
     a2ensite example.com.conf ]

Una vez hayamos creado el fichero example.com.conf con el contenido que mostraba antes, lanzamos el siguiente comando para recargar Apache.

     service apache2 reload


Si hemos hecho todo bien, deberíamos ver la siguiente pantalla al abrir un navegador web.



Ahora vamos a instalar y configurar MySQL. El primer paso es instalar el paquete con el comando:

     apt-get install mysql-server 

Durante la instalación nos solicitará una contraseña. Recordemos la importancia de las contraseñas



Una vez hemos puesto la contraseña, el proceso de instalación prosigue.

En principio, si dejamos por defecto todos los valores debería funcionar, en caso de necesitar hacer algunos ajustes, habría que tocar el siguiente archivo (recordad hacer una copia de seguridad por si acaso: cp /etc/mysql/my.cnf ~ / my.cnf.backup )

     /etc/mysql/my.cnf 

Vamos a comenzar configurando la seguridad de mysql con: 

     mysql_secure_installation


Lo primero que nos pide al ejecutar el comando es la password de root, esa que acabamos de poner al instalar mysql. La ponemos y nos pregunta si deseamos cambiar la contraseña de root (n), si queremos eliminar el usuario anonymous (y), si queremos deshabilitar  el login remoto para el usuario root (y), si queremos eliminar las bases de datos de prueba y su acceso (y), y si queremos recargar los privilegios de las tablas (y).

A continuación, vamos a crear una base de datos y a darle permiso a los usuarios para que puedan utilizarlas. Iniciamos sesión en mysql:

     mysql -u root -p 

Una vez que estemos dentro veremos lo siguiente:

     mysql>

Es el momento de crear la tabla, dar permisos al usuario y establecer su contraseña. Lo haremos con los siguiente comandos:

     create database prueba; 
     grant all on prueba.* to 'rober' identified by '1a2b3c'; 
     flush privileges;

Una vez hemos terminado el proceso, salimos con el comando quit. (Recordad la importancia de poner el punto y coma (;) al final de cada linea).

Bien, ya tenemos instalado Apache y Mysql, es el momento de instalar php para poder dinamizar las paginas web.

Usando el comando apt-get install php5 php-pear lo instalamos rápidamente.

Ahora modificamos el archivo de configuración php.ini que podemos encontrar en

     /etc/php5/apache2/php.ini

Debemos asegurarnos que dejamos los valores según lo dejo a continuación (revisar que las lineas no queden comentadas con ; es decir, borrar el ;).


     max_execution_time  =  30 
     memory_limit  =  128M 
     error_reporting  =  E_COMPILE_ERROR|E_RECOVERABLE_ERROR|E_ERROR|E_CORE_ERROR 
     display_errors  =  Off 
     log_errors  =  On 
     error_log  =  /var/log/php/error.log 
     register_globals  =  Off 

     max_input_time  =  30


Creamos el directorio de registro para php y le damos la posesión al usuario en Apache. 

     mkdir /var/log/php 

     chown www-data /var/log/php

Después de realizar los cambios en el archivo de configuración de php, debemos reiniciar el servidor Apache, de nuevo con el comando:

     service apache2 reload
Si necesitamos soporte para Mysql en php, debemos instalar el siguiente paquete:

     apt-get install php5-mysql

Para proporcionar seguridad adicional a php, podemos instalar php5-suhosin con:

     apt-get install php5-suhosin

Y nuevamente debemos reiniciar el servidor Apache con:

     service apache2 reload

**En caso de que no te funcione, puedes probar a hacer lo que aquí comentan.

Y ya tenemos todo listo para comenzar a instalar SquirrelMail, pero lo veremos en la siguiente entrada.


Roberto García (@1GbDeInfo)

miércoles, 15 de octubre de 2014

¿Qué hacer cuando un equipo ha sido comprometido?



Esto más que una entrada es una pequeña reflexión mía, y además me gustaría que me dieseis vuestra opinión profesional (en equipos en empresas).
Creo que la pregunta está bastante clara, ¿qué hacemos si nos encontramos con un equipo comprometido dentro de la empresa?

Lógicamente tendríamos que puntualizar más, porque esto podría dar lugar a una conversación de esas de “caña y pipas”, ya que no es lo mismo que encontremos en el equipo un adware, una barra de esas tan chulas que se nos ponen en el navegador o algo por el estilo, que encontrarnos con algún malware algo más avanzado (puñetero).




Supongamos que nuestro sistema de detección de intrusos favorito nos manda un log en el que vemos que un malware se nos ha colado en un equipo, de supongamos un comercial que tiene acceso a datos sensibles de clientes y proveedores, comprometiendo dicho equipo y pudiendo llegar a tener acceso a dicho datos.

Bien, sin entrar en demasiados debates y por lo que estoy pudiendo ver (en los años que llevo trabajando), las “reacciones”  más habituales son:

1. Hemos pasado el “antivirus de turno” y el equipo está limpio.
2. Visto el impacto del ataque, hemos decidido optar por formatear el equipo y cargar de nuevo la imagen inicial.

Sinceramente, lo que yo he visto en estos  más de 10 años de trabajo, en el 98% de los casos optan por la opción número 1, es decir pasan un antivirus –en la mayoría de los casos gratuito- (sin entrar en la polémica de si hacen o no lo mismo que los de pago, me refiero a que tienen un antivirus en el equipo local, no una solución de servidor, con lo que ello conlleva, sin actualizar, sin análisis programado cada X horas/días/semanas y en algunos casos hasta un Eset pirata [guiño guiño]) y se quedan tan tranquilos. Ni siquiera se molestan en pasar un par de ellos online (que los hay) y obtener “una segunda opinión”.




Yo particularmente, y en el caso del malware algo “puñetero” que puede tener acceso a datos sensibles, no me lo pensaría, formateo el equipo, cargo la imagen con el SO y sus programas y “me quito de problemas”.

Si, ya sé que hay malware que se queda en el arranque y que por mucho que formatees sigue ahí, pero como dije al principio, hablamos de un malware “normalito” no de cosas más avanzadas. Y diréis, para eso le paso el antivirus y a correr (como dice alguien por ahí, que no recuerdo, formatear es de cobardes), y si, efectivamente es una opción “valida” pero quien te dice que no se replica, que no se inyecta en algún otro proceso o que incluso no está evadiendo el antivirus.

Pues esta es la eterna pregunta y la que me gustaría que me contestaseis en la siguiente encuesta, que son 10 segundos.
*Recordar que no estamos hablando de malware super-sofisticado, sino de algo tipo troyano bancario Citadel (Variante de Zeus) por poner otro ejemplo. 

Más información:




Roberto García (@1GbDeInfo)


Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates