Ahora que ha acabado 5ENISE, a pesar de la limitada perspectiva que me da no haber podido acudir a todos los talleres que me hubiera gustado (imponderables mecánicos en unos casos, cansancio en otros, falta de tiempo, etc.) y de que es mi primera asistencia a este evento, me gustaría hacer una crítica rápida a lo que vi durante los dos días y pico que estuve allí.

Supongo que a estas alturas ya sabrán que el pasado miércoles a las 19h estuvimos en el 1er encuentro Bloggers organizado por el Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT) al amparo del 5º Encuentro Internacional de Seguridad de la Información 5ENISE, junto a varias figuras del mundo de la seguridad.

Antes de nada, cabe señalar la excelente organización del evento llevada a cabo por el INTECO-CERT y la inmejorable atención recibida gracias especialmente a Francisco Losada (@flosadam, la mano oculta que hizo que todo funcionase como un reloj) y Javier Berciano (@jberciano, coordinador del Área de Operaciones de INTECO-CERT), que fue mucho más allá de la cortesía propia de un anfitrión.


-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.6 (GNU/Linux)
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=MICp
-----END PGP MESSAGE-----


Hemos decidido cifrar el post de hoy por varios motivos: cifrar la información siempre queda bien si hablamos de seguridad, no había visto nunca un post cifrado en un blog, tengo mucho trabajo y no me da tiempo a preparar una entrada en condiciones, se acerca el fin de semana -puente para algunos afortunados- y qué mejor que GPG para pasar un rato entretenido… en fin, excusas. La cuestión es que está cifrado para que ustedes, si tienen un hueco, lo descifren y disfruten de una interesante lectura :)

Hoy me gustaría presentaros un módulo de Metasploit que he descubierto hace poco tiempo. Se llama Page collector y ha sido desarrollado por Spencer McIntyre. El módulo en concreto nos ayuda a descubrir páginas web de un rango de ips y nos las muestra de forma gráfica. Vamos a plantear un posible escenario en el nos resultaría útil este módulo: Estamos realizando un pentest de una red corporativa que tiene un rango 192.168.0.0/24 y nos interesa conocer rápidamente, si existen interfaces de administración (phpMyAdmin, páginas de login por defecto, consolas JBoss…).

La instalación del módulo es muy sencilla y funciona out-of-the-box en una metasploit4:

No sé si se lo habíamos dicho ya, pero si no es así, yo se lo digo.

Mañana estaremos (en concreto, un servidor) en la quinta convocatoria del ENISE, participando en la mesa redonda del Encuentro Bloggers de Seguridad 2011 convocado por el Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT), junto a una selección de lo mejorcito del panorama blogger español en materia de Seguridad de la Información: David Hernández de Daboblog, José Selvi de Pentester.es, Yago Jesús de Security By Default, moderados por Javier Berciano, Coordinador del Área de Operaciones de INTECO-CERT.

Aunque pueden encontrar toda la información en la página del evento, éste tendrá lugar en el Salón Auditorio A del Parador San Marcos a las 19h bajo el lema “Hacia una sociedad conectada más confiable”, y se retransmitirá en directo en la web desde @intecocert con el hashtag #5Ebloggers y desde la web de 5Enise.

Por lo demás, pasaré los dos días restantes en León, así que si alguien quiere tomarse unas cervezas, no tiene más que enviarme un mail a mbenet@s2grupo.es y encontraremos un hueco.

Como todos sabemos, la seguridad informática es un ámbito relativamente nuevo,y aún a día de hoy,a pesar de todas las noticias relacionadas que aparecen en los medios de comunicación, sigue siendo un campo inexplorado para muchos profesionales, incluso entre los dedicados a la informática.

Es por ello que iniciativas cómo la que os presento hoy son necesarias para acercar y dar a conocer la problemática existente en lo que a seguridad informática se refiere, explicando claramente los problemas más comunes, e incluso dando ejemplos con los que poder aumentar la seguridad informática en nuestro entorno, tanto corporativo como particular.

Esta iniciativa se denomina el mes de la ciberseguridad (Cyber Security Awareness Month) del que este año se celebra su octava edición, y está promovida por el Departamento de Seguridad Nacional de los Estados Unidos de América, en cooperación con la National Cyber Security Alliance (NCSA) y el Multi-State Information Sharing and Analysis Center (MS-ISAC).

Hace ya algún tiempo, antes que la vida me llevara por estos lares en los que resido, solía realizar mis “creaciones” con un programita que algunos conoceréis y otros no, llamado Microsoft Visual Studio. Sí, habéis leído bien, Microsoft. Adorado y odiado a partes iguales, hay que reconocerle que esta gente es muy buena en muchas cosas (opinión personal, y con esto no quiero decir que el resto no lo sea), y hace fácil el desarrollo de aplicaciones para su plataforma. No es el motivo del post hacer publicidad de este producto, lo que quiero mostraros es lo fácil que pueden resultar algunas tareas gracias a este entorno (del que existe versión gratuita y con la que he realizado este ejemplo).

Lo primero, he descargado una aplicación llamada “Microsoft Web Platform Installer”, que es un gestor de descargas de software. Si realmente queréis probar lo que voy a tratar de exponer, sólo tenéis que ir a http://www.asp.net/get-started y seguir las instrucciones para instalar el “Microsoft Visual Web Developer Express” y el Framework “ASP.NET MVC 3” con el que realizaré este ejemplo. Como veis, voy a usar el patrón de diseño MVC con el Framework que Microsoft proporciona.

Tan solo un par de reflexiones en relación con el fallo general sufrido por las Blackberry de medio mundo la semana pasada.

Por un lado, y aunque informativamente creo que RIM ha reaccionado mejor que lo hizo SONY en el incidente de seguridad que tuvo hace unos meses —en el que el mutismo fue la actitud adoptada— deshaciéndose en disculpas hacia los usuarios y anunciando compensaciones, en mi modesta opinión, hablar de que “un fallo del conmutador de red” ha dejado fuera de juego durante cuatro días el correo electrónico de empresas y particulares de medio mundo es cuanto menos un poco difícil de creer.

Después de darle un pequeño repaso a VRRP, partimos del siguiente escenario. Nos encontramos en una LAN con un grupo VRRP formado por dos routers (A y B) con IP virtual 192.168.1.100. Como vemos en la salida el router A (configurado como Master) tiene una prioridad de 150 y una IP local de 192.168.1.5. En caso de caída, el router B tras un tiempo Master_Down_Timer, asumirá el rol de Maestro (Preemption enabled).

RouterA#show  vrrp
FastEthernet0 - Group 1
  State is Master
  Virtual IP address is 192.168.1.100
  Virtual MAC address is 0000.5e00.0101
  Advertisement interval is 1.000 sec
  Preemption enabled
  Priority is 150
  Master Router is 192.168.1.5 (local), priority is 150
  Master Advertisement interval is 1.000 sec
  Master Down interval is 3.414 sec      

RouterB#show  vrrp
FastEthernet0 - Group 1
  State is Backup
  Virtual IP address is 192.168.1.100
  Virtual MAC address is 0000.5e00.0101
  Advertisement interval is 1.000 sec
  Preemption enabled
  Priority is 100
  Master Router is 192.168.1.5, priority is 150
  Master Advertisement interval is 1.000 sec
  Master Down interval is 3.609 sec (expires in 3.533 sec)

A día de hoy sería extraño no encontrarse con configuraciones HSRP (Hot Standby Router Protocol), GLBP (Gateway Load Balancing Protocol) o VRRP (Virtual Router Redundancy Protocol) en organizaciones de pequeño/gran tamaño y más aún en entornos críticos donde prima la disponibilidad. El motivo es evidente: la mayor parte de los equipos son configurados con un Gateway estático generalmente obtenido por medio de DHCP. En caso de que dicho Gateway deje de funcionar implicaría la pérdida de paquetes hasta que el mismo se restableciera o bien hasta que otro Gateway fuera configurado en cada uno de los equipos. Aunque existen métodos para permitir una configuración dinámica del Gateway (proxy Arp, protocolos de routing RIP/OSPF, “ICMP router discovery protocol”, etc.) estos implican una configuración más “compleja” además de producir cierto overhead en la red. Por este motivo es por el que surgieron protocolos como HSRP, GLBP o VRRP, siendo este último la versión no propietaria de los protocolos desarrollados por Cisco.