II Programa de prácticas de verano en empresa (remuneradas)

Información remitida por la FUC.
--------------
Estimado amigo/a:

Dende a Fundación Universidade da Coruña queremos informarche que puxemos en marcha o II PROGRAMA DE PRÁCTICAS DE VERÁN TEMPUS. Programa de prácticas en empresas remuneradas dirixido a estudantes universitarios para o próximo período vacacional.

Si estás interesado e necesitas información ponte en contacto coa Unidade de Emprego e Formación da FUAC.

Más información en http://www.fundacion.udc.es/

Ensuring Data Security During Hardware Disposal

Noticia disponible en http://www.darknet.org.uk/2009/05/ensuring-data-security-during-hardware-disposal/

Hemos hablado de seguridad a nivel físico, de la necesidad de aplicar mecanismos de protección a nivel físico, del hardware. Todo "hardware" tiene un ciclo de vida y, tras la vida, nuestros equipos se pueden reencarnar en nuevas vidas. Lo que para unos es chatarra, para otros es un tesoro. Pero, ¿qué pasa con nuestros equipos que dejan de dar servicio?. Entre otras muchas cuestiones, sus discos duros, los dispositivos de backups, etc., siguen soportando información durante muchos años que, incluso después de un mal-borrado, se podría llegar a recuperar. Como ejemplo, la noticia que encabeza esta entrada.

A nivel funcional, señalar la existencia de herramientas para hacer un borrado de nuestros dispositivos de almacenamiento magnético, de tal forma que ningún análisis forense pueda recuperar la información (DBAN y Eraser). Si manejas información crítica, sin duda alguna deberás definir un método de reciclaje al nivel de las circunstancias, evitando que los equipos puedan darte un susto en su segunda vida o, en caso de duda, siempre puedes pulsar el botón de autodestrucción. Aunque a todos nos gusta probar técnicas y herramientas como metodología de aprendizaje, no pruebes estas herramientas en tus discos duros. Y de hacerlo, un backup completo previo o imagen te vendrá muy bien. -:)

Puedes complementar el tema con "La recuperación de datos, un arma de doble filo"

Para borrado seguro de ficheros destacar, entre otros, srm, wipe o shred. Como todo en este mundo, toda herramienta proporciona un "arma" muy valiosa tanto para el lado oscuro, como para el de la luz, unos por protección de la información y, los otros, para eliminación segura de cualquier posible rastro.

Bitácora de PSI.: Protejamos nuestro físico

Nuestra historia cuatrimestral comenzó con una clásica clasificación de categorías de ataques (interceptación, interrupción, modificación y generación). Como ejemplo de la primera analizamos toda la problemática del "sniffing" en nuestras redes, incluyendo las posibilidades de ataques-engaño a los protocolos seguros. El estudio del DoS y DDoS nos sirvió para ilustrar la segunda categoría de ataque. El uso de otras técnicas en conjunción con las técnicas y herramientas de "sniffing", DoS y DDoS proporcionan nuevos ejemplos para ilustrar la categoría de modificación y generación. Aunque podríamos continuar nuestra aventura analizando otros muchos casos, es el momento de evolucionar a una nueva aventura.

Las categorías de ataques afectan a los datos, software y hardware. Hemos jugado en prácticas con los dos primeros, y no debemos olvidarnos del tercero, del hardware, de la seguridad a nivel físico. La segunda parte de la clase la dedicamos a proporcionar diferentes ideas generales en este nivel.

1.- Aislamientos de los CPD, salas de comunicaciones, etc. Mecanismos.: Llave convencional, videoporteros, tarjetas (barras, magnéticas, inteligentes, proximidad) y sistemas biométricos.

En este punto se analizan los mecanismos de funcionamiento y las principales ventajas y desventajas de cada uno, así como las posibilidades de combinación. En todo momento se pone como ejemplo instalaciones de control de acceso existentes. En cuanto a su instalación, se analizan las ventajas y desventajas de utilizar una VLAN de control de acceso sobre la infraestructura-activos de red existente. Hubo un tiempo en que coexistían en nuestros organismos un gran número de redes (datos, vídeo, telefonía, vigilancia, etc.), y otro, en el que todo convivía en una misma red y, en cierto sentido, se hacián compañía. En todo momento se indican algunas posibilidades de sabotaje a estos sistemas.

2.- Sistemas de videovigilancia. En este desarrollo se sigue un planteamiento similar al del punto 1.

3.- Red eléctrica. Aquí tenemos una de las muchas redes de nuestros edificios, con su cableado y mecanismos de seguridad (diferenciales y magnetotérmicos). En este punto analizamos la necesidad de UPSs o SAIs. Parámetros como tiempo vs. consumo., calidad y rectificado de señal, tipos de SAIs, unidad KVA, VAi, tiempos de alimentación, selección de SAIs, son algunos de los conceptos tratados.

Entre los aspectos "cacharreo" tratados en esta clase, incluyo en esta entrada la forma de proteger el grub. A este respecto, dado que grub ha evolucionado, recomendable visitar la entrada "Password en grub2" del blog de Uxío.

Y aquí dejamos esta historia, para próximos capítulos.

Bitácora de PSI.: Who is who & Metallica is metallica (parte I)

La primera parte de la clase, tras 2 horas de prácticas en laboratorio, la dedicamos a introducir distintos organismos y su aportación al mundo de la seguridad y, en especial, a su estandarización.

Iniciamos esta andadura con el NIST (National Institute of Standars & Technology) y se presentan algunos de sus principales Federal Information Processing Standards (FIPS), o la National Vulnerability Database (NVD), como herramientas de gran relevancia en PSI.

El Institute for Security and Open Methodology (ISECOM) también pone a nuestra disposición un buen conjunto de metodologías y desarrollos en "compromise detection", "secure programming", "security politics", "security testing", etc.

En un tercer bloque analizamos algunos de los estándares en seguridad de la ISO. Partimos de la ISO17799 (estándar de seguridad en información) y vemos su evolución a la ISO27001, que se centra en la gestión de la seguridad de la información, e ISO27002, sobre buenas prácticas en seguridad en la forma de objetivos de control y controles recomendados. Obviamente ambos estándares son complementarios. Finalizamos la aventura de la ISO con las ISO27003, 05 y 11.

Finalizamos la primera parte de la clase con el Standard of Good Practice for Información Security del Information Security Forum (ISF).

"Cuando has experimentado con todo tipo de ataques, métodos y herramientas en seguridad, las metodológicas te proporcionarán la energía y el orden necesario para conseguir un cierto nivel de equilibrio-abstracción de nivel superior en la profesión. Como es lógico, todo requiere su tiempo"

Autómatas y "creación" musical

SÁBADO 16 DE MAYO
DÍA INTERNACIONAL DE LOS MUSEOS

Actuación del artista londinense
STEPHEN CORNFOR
DOXIDE CURRENTS
22:00 h.

VISITA GUIADA NOCTURNA
a la exposición temporal
'antes de ayer y pasado mañana,
O LO QUE PUEDE SER PINTURA HOY'

de 23:00 a 00:00 h.
gratuita y sin reserva de plaza

STEPHEN CORNFORD es un artista multidisciplinar londinense que juega con la interacción y la provocación en sus instalaciones sonoras, actuaciones en directo y creaciones audiovisuales. Estos trabajos, que se cuentan entre los más personales del momento, mezclan la acción humana y la automatización de procesos sonoros mediante el diseño y utilización de máquinas capaces de tocar, de forma no siempre ortodoxa, instrumentos como el violín, la guitarra eléctrica o el piano. Buen ejemplo de ello sería la banda Human Separation, en la que el propio Cornford y su compañero Matthew Appleby se convierten en directores de un grupo de autómatas que toca varias guitarras y una batería, dentro de un proceso en el que la acción humana no se ejerce directamente sobre los instrumentos, sino sobre las máquinas que los manejan.

Sobre su actuación del próximo sábado, titulada Oxide Currents, Cornford nos comenta lo siguiente: "SSCD_6.2 es un equipo de cassette delay de construcción casera creado a partir de viejas grabadoras y componentes electrónicos básicos, en homenaje a máquinas obsoletas como el Dynacord Space Echo y el Watkins Copycat. Permite grabar material acústico y reproducirlo al mismo tiempo que la cinta viaja a lo largo de sus seis pletinas. Esta máquina hace alusión a la historia de la llamada Tape Music, abarcando tanto la música concreta como la música procesada. La baja fidelidad de la cinta asegura que ninguna de las señales retardadas sea una repetición del sonido acústico original. En ArtEx Sonora II utilizaré este equipo para crear complejos enjambres de sonidos a partir de fuentes aparentemente sencillas, como pequeños objetos, vasijas, una viola o la propia sala del concierto."

Entrada libre
Aforo limitado
Aparcamiento gratuito
Autobús urbano Nº11

MACUF. Museo de Arte Contemporáneo UNION FENOSA
Avda. de Arteixo 171 15007 A Coruña
http://www.macuf.com/

Conferencia.: "The impact of Cloud Computing and Virtualisation"

Profesor: Mark Baker da Escola de Enxeñería de Sistemas e Comunicación da Universidade de Berkshire en U.K.

Data: martes 19 maio
Hora: 10:30
Lugar: aula 3.3 da FIC da UDC

Bitácora de PSI.: Seguimos de monitorización

Seguimos con comandos básicos de ayuda a la monitorización. Entre ellos, uname, uptime, time, ps, vnstat, df, du, who, gprof, ping, traceroute, etc. Otro conjunto de comandos evolucionados lo constituyen dstat, iftop, tcptrack, vnstat y atop. Se presenta la utilidad y salida de dichos comandos, sin entrar en posibles opciones. Para más información ver sus man.

Otro ámbito de herramientas es del chequeo de integradad. Entre ellas sxid, tripwire o ViperDB.

Entre los muchos apartados de la práctica 2 (parte II), de las posibles opciones de uso, el tripwire y el vnstat os permitirán resolver un par de ellos. Otras herramientas se centrar en falsear el comportamiento de las máquinas y sus servicios. Entre ellas, el DTK (Deception Toolkit).

Hasta este punto hemos visto herramientas de monitorización de equipos, sin pensar en las posibilidades de entornos centralizados de monitorización de un gran número de activos. Aunque se podrían desarrollar soluciones propios con lo visto, en la actualidad existe una gran cantidad de herramientas para dicha tarea. Entre ellas, Pikt, zabbix, munin, Nagíos, NTOP. MRTG (Multi Router Traffic Grapher) y OSSIM (Open Source Infraestructure for Security Monitoring). De forma generealizada estas herramientas o hacen uso de agentes propios en el lado cliente o del protocolo de gestión SNMP (Simple Network Management Protocol), con o sin soporte de las MIB (Management Information Base).

"De nada sive disponer de todo tipo de sistemas de monitorización, "logs", detección de intrusiones, analizadores de vulnerabilidades, sistemas de alarma más o menos inteligentes, etc. en entornos en los que nadie analiza la información y, como mínimo, atiende las alarmas. Tener este tipo de sistemas está muy bien pero, sin duda alguna, requiere un cierto control de toda la información y alarmas gestionadas".

Concurso de seguridad del cambRED_09

Los días 8, 9 y 10 de mayo se ha celebrado en el Pabellón Polideportivo de Cambre (A Coruña) el cambRED_09.

Como en todo evento de esta naturaleza, no ha faltado el concurso de seguridad. En esta edición el ganador del mismo ha sido una alumno de PSI, Jose Cribeiro. Querido alumno, te has ganado un punto extra en la asignatura.

Adjunto información remitida por Jose sobre el desarrollo del concurso.

-------------------------------------

Para el concurso de seguridad te daban la ip de una maquina que era la que tenías que atacar, y escalar privilegios en ella sabiendo que había un user que se llamaba cambred cuya contraseña te decían que era muy fácil. La contraseña era cambred.

Si te conectabas a la máquina por ssh al puerto 22 y tras escribir login y pass, entrabas en la máquina y nada más hacer un ls normal te dabas cuenta que algo no iba bien ya que en lugar de sacar un ls normal, sacaba un ls -l, si intentabas algún otro comando básico, como podía ser un cd para entrar en algún directorio te decía que no existía, así que rápidamente te dabas cuenta de que estabas en un honey.

Tras cerrar la conexión y hacer port discovery sobre la maquina con nmap te sacaba que había otro puerto abierto el 1010, así que como no había ningún otro puerto, y se sabía que tenías que tener acceso a la máquina y se sabía también que era por ssh, te conectabas a la máquina en el puerto 1010 por ssh y ya estabas realmente dentro. Una vez dentro podías descubrir fácilmente la existencia de 3 users además de root, cambred, cambred2, y cambred3.

Como en todos los niveles del juego tenías pista en forma de README.cambred al leer el del directorio de cambred te decían que al usr cambred le gustaban los irc al estilo de la vieja escuela, mientras seguía investigando y explorando el terreno en el que me encontraba decidí hacer un ls -R -lisa y viendo el resultado encontré un fichero de configuración de un cliente de irc, el irssi, entre muchas cosas en el fichero de configuración había una línea en la que se hablaba de un canal de irc y que el password del user cambred2 era una cadena cifrada, así que tras googlear un poco sabías que la cadena estaba cifrada con ROT-13, la descifrabas y ya tenías tu pass para cambred2.

Bien, una vez pasado el primer nivel, volvías a leer el README.cambred, de este user y te decía que las cosas no son lo que parecen y que a veces se escondían cosas tras cortinas de humo. Además del README.cambred había un ejecutable que te decía, "enséñame la patita por debajo de la puerta -dijo el cordero" y después te preguntaba por el password. Así que supuse que la contraseña se encontraba escrita en claro dentro del código fuente del ejecutable así que use strings para sacar las posibles cadenas de texto y casualmente una de ellas decía, "esta es la contraseña de cambred3"

Te conectabas como cambred3, y tenías otro README.cambred que te decía que tenías que aprovechar los errores de los programadores, y existía también un ejecutable que se llamaba rootls, que como su nombre indica hacía ls sobre un directorio con permisos de root, así que podías hacer: ./rootls /root/, y ver lo que había y veías que había otro README.cambred así que mi objetivo principal ahora mismo era leer el README.cambred del directorio /root/, investigando un poco y haciendo gdb sobre rootls desensamblándolo, pasándole también strings descubrí otra pista que decía que 640 bytes deberían bastar, y además descubrí que se hacía una llamada directamente a /bin/ls, así que decidí enfocar el ataque buscando un buffer overflow, con una cadena de 640bytes, y poniéndole al final un /bin/cat y descubrí que ejecutaba el cat pero que no era capaz de hacer que funcionase correctamente con los parámetros que le pasaba en el buffer anterior así que al final hice un programa que leía el fichero /root/README.cambred y ejecute el ./rootls "aquivaunacadenade640caracteres"/home/cambred3/"miejecutable" y listo ya había leído el fichero, que me decía que fuese corriendo a junto del los de la organización a decirles la frase: "En Sevilla la Lluvia es una maravilla"

Bitácora de PSI.: Monitorización más o menos "inteligente"

Un alumno en prácticas me plantea una cuestión “una máquina puede presentar un cuello de botella, se puede degradar su performance por múltiples causas, ser atacada por diversos métodos, incluidos los de denegación de servicio, etc., pero, ¿cómo puedo detectar esta situación?"

Sin duda alguna es la cuestión que, en el punto en el que nos encontramos, se debería plantear. En un primer momento, existen dos posibilidades.:

- No hacer nada y que sean los propios usuarios de nuestros sistemas los que, cuando un sistema presente un mal funcionamiento o una degradación en sus prestaciones, nos avise.

- Disponer de distintos sistemas de monitorización y alarmas en los sistemas administrados o, al menos, en servidores relevantes. Señalar que en este punto no estamos hablando de sistemas como puedan ser los IDSs, que entrarían en otro apartado relacionados con la monitorización y detección de intrusiones, o los sistemas de análisis de vulnerabilidades.

La primera opción supone tener que curar a un paciente cuando está en una situación crítica, sin contar todas las implicaciones de prestar un mal servicio a nuestros usuarios-clientes. Bajo ningún concepto debemos proceder de esta manera. En todo momento deberemos pensar en un mínimo de herramientas que nos faciliten la monitorización de los sistemas.

En este punto, iniciamos la aventura con las opciones básicas de "accounting" de procesos y usuarios.

El clásico paquete acct nos proporcionará unas herramientas básicas de monitorización de procesos y usuarios. Comandos como el ac, lastcomm, sa, last, lastb, entre otros, nos proporcionan algunas posibilidades básicas. Se estudian los parámetros de salida de los mismos.

En un segundo nivel se analiza el paquete sysstat como herramienta básica de monitorización de los distintos subsistemas gestionados por los sistemas operativos de nuestras máquinas, tanto en "tiempo real" como sobre bases de datos históricas, que nos permiten analizar el "performance" de las máquinas en cualquier momento pasado.

En toda monitorización un parámetro que debemos definir es el período de muestreo. Obviamente este deberá ajustarse a los objetivos de los posibles estudios sobre las muestras. Señalar que toda monitorización también supone una sobrecarga en el sistema que, de ser necesario, debería cuantificarse. En el marco del paquete sysstat se analiza la salida obtenida por los comandos iostat, mpstat, sar, top, vmstat y free, así como las opciones para garantizar el muestreo histórico de parámetros del sistema y el tratamiento de los mismos por los "scripts" sa1, sadc y sa2. También se incluye el comando sadf para exportar los datos a CSV o XML. Nuevamente se analizan los principales parámetros de salida de todos ellos.

Se incluye una herramienta no menos importante, la ISAG (Interactiva System Activity Grapher) que, sobre un entorno gráfico permite seleccionar un fichero del subsistema sysstat en binario (saXX) y mostrar los datos de muestreo históricos de forma gráfica. Sin duda alguna estos gráficos nos proporcionan de una forma visual mucha información sobre la evolución del "performance" en los distintos subsistemas gestionados por el sistema operativo.


Para concluir, señalar que de nada nos sirve disponer de muchos datos sin una cierta capacidad de análisis y, o, sistemas de alarma. Es necesario "conocer" las salidas producidas y las posibles interacciones e implicaciones de las mismas para, con ellas, sacar conclusiones que nos permitan tomar decisiones. Nuevamente llegamos a la “palabreja” que aparece cada poco en la asignatura, "tomar decisiones". Sin duda alguna, el profesional que nunca toma decisiones, o hace que sean otros los que las tomen, nunca se equivocará. Pero este es otro de los muchos puntos que diferencia un buen profesional de uno mediocre. Todo responsable del sector TIC debe potenciar a aquellos profesionales que toman decisiones y, muy especialmente, a los que asumen las posibles responsabilidades de las mismas, incluso en los casos no acertados.

Bitácora de PSI.: Otra de zoombies

Hoy nos hemos dedicado a la otra problemática de nuestra profesión, el día a día de nuestro trabajo, pero en este caso considerando una empresa que debe "capear" un ataque DDoS. Una buena referencia al respecto.:

- Network DDoS Incident Response Cheat Sheet de Lenny Zeltser

Si administrar sistemas tiene una cierta problemática, la administración de personas, de personal, es mucho más compleja.