Archivo de la categoría: Seguridad

Tecnología Malware en equipos Lenovo

Lenovo MalwareTras un tiempo si publicar nada en el blog he encontrado un tema que me parece muy interesante. Hace unas semanas el mundo digital se hacía eco de una noticia referente a determinado software de rastreo incluido en algunos equipos Lenovo. Como de costumbre, uno piensa que este tipo de sucesos le tocan muy de lejos. Hasta que te encuentras con este software dentro de casa.

El caso es que, revisando unos logs de squid buscando otra cosa, me encontré con las siguientes peticiones:

1443163380.208    494 192.168.0.111 TCP_MISS/200 770 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163380.733    514 192.168.0.111 TCP_MISS/200 775 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163381.269    536 192.168.0.111 TCP_MISS/200 771 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163381.776    507 192.168.0.111 TCP_MISS/200 769 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163382.260    484 192.168.0.111 TCP_MISS/200 770 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163382.751    485 192.168.0.111 TCP_MISS/200 772 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163383.252    501 192.168.0.111 TCP_MISS/200 779 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163383.750    497 192.168.0.111 TCP_MISS/200 771 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163384.222    473 192.168.0.111 TCP_MISS/200 773 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg
1443163384.739    517 192.168.0.111 TCP_MISS/200 772 POST http://search.namequery.com/ – DIRECT/209.53.113.223 image/jpeg

Inmediatamente me llamaron la atención al tratarse de continuas subidas de información desde una ip interna hacia un dominio que, cuanto menos, sonaba sospechoso. Por otro lado, las peticiones siempre se producían desde determinadas ips. Tras verificar las ips internas identificamos tres equipos Lenovo que habían sido adquiridos hacía poco más de un mes.

Al buscar el dominio en google me encontré este artículo en el cual alguien ya había investigado sobre las sospechosas peticiones. A modo de resumen, os diré que se trata de un software de la empresa Absolute que, cada vez de forma más común, aparece en nuestros ordenadores y dispositivos móviles. Así que si alguien cree que por tener un equipo Acer o Dell no está expuesto al problema ya puede ir descartando esa idea. Lenovo, Dell, Samsung, etc. están incorporando este software.

Quizás a alguno de vosotros la idea de que el fabricante realice un seguimiento de los productos que vende no le parezca tan grave, sin embargo, imaginaros qué sucedería si dicha información fuera interceptada o si la aplicación fuera afectada por un malware que modificara la dirección contra la que debe subir los datos.

Hasta que pueda revisar físicamente los equipos Lenovo he optado por filtrar en capa 3 cualquier acceso a la ip 209.53.113.223 de forma que los equipos nos puedan seguir enviando información.

A continuación os dejo un enlace del análisis que hizo Karspesky en su día sobre este software.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Encriptar el correo electrónico

Encriptar el correo electrónico

 

Últimamente casi todas las empresas están preocupadas por la seguridad y sin embargo, la mayoría de ellas sigue utilizando protocolos de correo electrónico sin cifrado. Es más, cuando enviamos un correo electrónico lo único que tenemos claro es que procede de nuestro ordenador. Sin embargo, hasta llegar al buzón de correo del destinatario ha transitado por un número importante de routers hasta nuestro servidor de correo (SMTP). Más adelante, nuestro servidor ha cruzado quizás medio mundo para depositar el mensaje en su homónimo del dominio destino. Por último, el cliente de correo del destinatario debe acceder a su buzón para recibir la notificación de nuevo correo y para ello, claro está, debe de hacer traspasado otra serie de routers.

Básicamente esta es la magia que se esconde tras el envío/recepción del correo electrónico. Sin embargo, pensar que nuestro mensaje cruza el planeta siendo enviado en texto plano es algo que puede preocupar a más de uno.

Quizás alguno de vosotros esté pensando que sus mensajes viajan cifrados porque utiliza el protocolo TLS para cifrar el correo electrónico y, si bien es cierto, tan sólo cifra la primera etapa, es decir, la comunicación cliente/servidor. Quizás también, nuestro destinatario utilice también TLS y reciba el mensaje cifrado pero… ¿qué sucede mientras el mensaje es transferido entre servidores?

Pues bien, en ese caso el mensaje viaja en texto plano en la mayoría de los casos. Sin embargo, empresas como Google, Apple y Microsoft están comenzando a configurar TLS para cifrar los correos electrónicos durante el tránsito entre servidores. Efectivamente esta medida protege nuestros mensajes durante la etapa que escapa al usuario: el tránsito entre servidores de correo.

La medida es interesante ya que evitará que terceras personas puedan interceptar nuestro correo mientras es transportado a su destino además, conforme más ISPs se unan a este movimiento más efectiva será la medida. Sin embargo, me llama la atención que desde Google se anuncie esta medida para favorecer la privacidad de sus cuentas de correo Gmail cuando todos sabemos que albergar cuentas de correo en servidores ubicados en Estados Unidos implica una merma importante de privacidad.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik address list

Mikrotik priorizar tráficoUna forma de ahorrar tiempo a la hora de configurar reglas de filtrado en nuestro equipo mikrotik es usar las address list. Una address list no es más que un conjunto de direcciones ip que posteriormente vamos a utilizar en una regla de filtrado.

Un buen ejemplo para explicar la utilidad de las Mikrotik address list sería por ejemplo utilizarlas para restringir el acceso a servidores de correo. Imaginemos el caso de una empresa que tiene sus cuentas de correo con el proveedor ISP. Podríamos decir que el 100% del tráfico de correo, SMTP, POP3, IMAP, etc. debe de tener como dirección de destino los servidores MX que dicho ISP tenga asignados a nuestro dominio. Es posible por tanto crear una address list que contenga todas las direcciones ip de los servidores de correo de nuestro ISP.

¿Qué ganamos con esto? por un lado, evitamos que cualquier usuario pueda configurarse una cuenta de correo ajena a la empresa y por el otro, si uno de los equipos de la empresa se infectara con un malware podríamos estar seguros de que no podría seguir extendiéndose a través del correo electrónico fuera de la empresa.

A continuación tenéis un ejemplo de filtro usando una address list.

ip firewall address-list

add address=56.67.78.9 disable=no list=”Servidores Correo”

add address=56.67.78.10 disable=no list=”Servidores Correo”

ip firewall filter

add action=accept chain=forward disable=no dst-address-list=”Servidores Correo” dst-port=25 protocol=tcp

add action=accept chain=forward disable=no dst-address-list=”Servidores Correo” dst-port=110 protocol=tcp

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik Firewall Rules

Mikrotik Firewall RulesSiempre me ha fascinado la versatilidad de los equipos Mikrotik. De hecho, dicha versatilidad hace que podamos utilizarlos en los escenarios más dispares. Hoy me gustaría profundizar un poco sobre la configuración de las reglas del firewall o las Mikrotik Firewall Rules.

La mayoría de las ocasiones, cuando hablamos de firewall hacemos referencia a restringir el tráfico procedente de internet hacia el interior de nuestra red. Sin embargo, tanto o más importante es restringir el tráfico que sale de nuestra red. A fin de cuentas, estamos hablando de ancho de banda, un ancho de banda limitado en la mayoría de las ocasiones, y no debemos malgastar bytes en tráfico no necesario.

Las reglas de filtrado en Mikrotik se dividen en tres categorías: input, forward y output. las reglas del tipo input hacen referencia al tráfico que tiene por destino nuestro router Mikrotik. Las reglas del tipo forward afectan al tráfico que cruza nuestro router y finalmente las reglas del tipo output afecta al tráfico que sale de nuestro router Mikrotik.

Así pues, si quisiéramos limitar el acceso al puerto 80 de nuestro Mikrotik a una determinada ip utilizaríamos la la siguiente regla:

ip firewall filter

add chain=input action=accept protocol=tcp src-address=192.168.0.100 dst-port=80

add chain=input action=drop

Por otro lado, podemos utilizar la funcionalidad de la cadena forward para restringir el acceso a determinados protocolos o ips desde nuestra LAN hacia Internet. Por ejemplo podríamos crear las siguientes reglas para permitir el acceso a internet sólo de los siguientes puertos: 80 (http), 443 (https), 25 (smtp), 110 (pop3) y 143 (imap):

ip firewall filter

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=80

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=443

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=25

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=110

add chain=forward action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=143

add chain=forward action=drop src-address=192.168.0.0/24

Finalmente las reglas que afectan al tráfico saliente con del propio Mikrotik pueden ser filtradas desde la cadena output y limitan el acceso a Internet o a la LAN desde el propio Mikrotik. Hay que tener en cuenta que una modificación errónea en la cadena output puede dejarnos sin acceso a nuestro equipo. No olvides activar el modo safe. Un ejemplo para permitir sólo el tráfico DNS desde nuestro equipo mikrotik sería:

ip firewall filter

add chain=output action=accept protocol=tcp dst-port=56

add chain=output action=drop

A la hora de establecer reglas de filtrado es importante no olvidar que debemos filtrar el tráfico que puede llegarnos a través de nuestros interfaces públicos como el tráfico saliente de nuestra red.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mac Os Maverick y SMB2

Mac Os Mavericks SMB errorUno de los cambios que trajo consigo Mac Os Maverick fue la implementación del protocolo SMB2 para el acceso a carpetas compartidas que utilicen el protocolo SMB (Server Message Block). Este protocolo es usado por todas las versiones de Microsoft Windows desde Windows 2000 y en la mayoría, por no decir en todos, los NAS que podemos adquirir actualmente.

Si bien es cierto que el protocolo SMB2 fue introducido por Microsoft en 2006 con Windows Vista no es menos cierto que, hasta la aceptación por parte del público de Windows 7 ha sido un protocolo que ha pasado de forma irrelevante por nuestras redes mayormente porque, mientras que hemos tenido que garantizar la compatibilidad con Windows Xp, los niveles de funcionalidad de nuestros dominios han estado en el nivel Windows 2003 Server.

Sin embargo, con la aparición de SMB3 con Windows 2012 y el anuncio por parte de Microsoft de retirar el soporte a Windows Xp parece lógico que Mavericks utilice SMB2 como el protocolo por defecto para conectarse a carpetas compartidas.

Una vez dicho esto ¿podemos habilitar la compatibilidad con versiones anteriores del protocolo SMB en Mavericks? la respuesta es si. Podemos modificar el archivo de configuración del cliente SMB de Mavericks para que utilice SMBv1 por defecto. Para ello debemos ejecutar la siguiente línea:

sudo echo "[default]" >> ~/Library/Preferences/nsmb.conf; echo "smb_neg=smb1_only" >> ~/Library/Preferences/nsmb.conf

Para volver a la configuración por defecto sólo debemos eliminar el archivo

sudo rm ~/Library/Preferences/nsmb.conf

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento