SharePoint gratuito, comparte tus fotos de gatitos en la empresa.

Como todos sabéis, o deberíais, soy un administrador de sistemas. Soy de los que me gusta prohibir Facebook a los empleados, y restringirles las cuotas de disco para que no almacenen muchas fotos de gatitos en los extremadamente caros discos duros empresariales.

Me consta por lo que hablo con mis amigos del mundo de la seguridad, que Sharepoint es un desconocido para muchos. Ya sabes, esos administradores de Linux que invierten el día en programarse sus rutinas, en vez de darle a los clicks, o ahora con el dedo !!!! :-) es broma.

Si es cierto que encuentro empresas en las que una solución de este tipo les proporcionaría ciertas mejoras, y que no se implementan por desconocimiento.

En esta artículo os voy a guiar sobre el proceso de configuración básica de Sharepoint para un ambiente de red local.

Lo primero de todo, ¿què es Sharepoint?. Se denomina plataforma de colaboración empresarial. Podemos decir que es un sistema para la creación de sitios web. La diferencia con cualquier otro CMS son los plugins o complementos. Los complementos, aunque los hay de todo tipo, se orientan al mundo empresarial, a la colaboración empresarial. Por supuesto, otra ventaja es su integración con Active Directory para la gestión de usuarios.

Pongamos un caso, el directorio de personal. En organizaciones en las que se implementa Exchange suele ser buena costumbre crear una agenda de contactos organizada, en la que se tiene en el cliente Outlook una lista de nombres, teléfonos, extensiones, dirección de email, departamento, foto...

En una Pyme de entre 50/150 empleados, en la que todo el mundo se conoce, pero con el tiempo se abren oficinas remotas, comerciales, colaboradores, el papel con el teléfono de los compañeros es poco útil. Ofrecer a tu organización un espacio común, gratuito, en el que publicar la información, esta bien !!!

Para las empresas en las que el Social Media es importante, tener un punto común de recursos web centralizado, donde los empleados puedan seguir las actividades de su misma u otra empresa, tambien me parece interesante y lo suelo implementar.

Otro caso muy usado es la gestión documental. Podemos usar nuestros clientes Office, es decir, el Word, para publicar contenido en Sharepoint. Se configura una ruta en cada cliente, y el usuario por defecto almacenará todos los documentos en el portal de la empresa, bajo la opción que le indiquemos.

Mi experiencia con las carpetas compartidas es que el usuario "maneja" su parcela de información. Si necesita un documento de otro departamento, llamará al usuario para pedírselo, o quizás, queden a la orilla de la máquina del café para compartir el archivo :-)  A esto hay que sumarle los permisos de usuarios y grupos que pueden no ser los más adecuados para el trabajo colaborativo.

Otra tontería pero útil en algunos sitios, es un calendario compartido de departamento. Saber qué visitas tiene un compañero, que inspecciones tenemos esa semana, eventos y demás, pues también está bien, insisto, es gratuito !!!

Vale, se que me conocéis. ¿Gratuito? . La versión Foundation 2013 si lo es. En versiones anteriores los que terminaban en Services eran gratuitos, y los servers de pago.

Vamos a ponerlo en marcha y así podemos practicar con algo.

Necesitas un Windows Server al menos.

• Microsoft .NET Framework 4.5
• Windows Management Framework 3.0
• Rol Servidor de aplicaciones, Rol Servidor web (IIS)
• Microsoft SQL Server 2008 R2 SP1 Native Client
• Microsoft Sync Framework Runtime v1.0 SP1 (x64)
• Windows Server AppFabric
• Extensiones de Microsoft Identity
• Microsoft Information Protection and Control Client
• Microsoft WCF Data Services 5.0
• Microsoft WCF Data Services 5.6
• Paquete de actualización acumulativa 1 de Microsoft AppFabric 1.1 para Windows Server (KB2671763)

Lo bueno es que tenemos un icono para instalar todos los requisitos previos...
Tras varios reinicios para la configuración de los roles y actualizaciones, procedemos a instalar Sharepoint Foundation.

Podemos instalar los servicios de Sharepoint de manera distribuida, para tener una colección amplia de sitios web, distintas bases de datos, y otros servicios. Para este ejemplo, el de crear una Intranet básica para compartir información, vamos a realizar una instalación ALL-in-One.

Como en la televisión, por arte de magia, han pasado 60 minutos y ya está instalado, tachannnnnn.

Un pequeño paseo por las opciones de edición para configurar la foto y aspectos gráficos más sencillos.

Algunas configuraciones las vamos a tener que realizar desde la consola central de administración de Sharepoint. http://ip:42639/

El resultado podría ser este.

Si funciona en Linux...

Como podéis ver, el propósito de este post no es guiaros por la instalación, ni tan siquiera por la configuración, sino compartir con vosotros algunas de mis ideas, y sobre todo, animaros a probar Sharepoint. Se pueden hacer autenticas virguerías según los entornos en los que operes.

Espero que os guste, gracias por leerme !!!

EMET 5.1. Transformando "siguiente, siguiente, siguiente" en un proceso de seguridad empresarial.

En el capítulo de hoy de Inseguros vamos a hablar de una herramienta de seguridad gratuita de Microsoft llamada EMET, Enhanced Mitigation Experiencie Toolkit, recientemente actualizada a su versión 5.1.

Una descripción acertada es la de la propia Microsoft, por lo que copy&paste de Ms.

¿Qué es el Kit de herramientas de Experiencia de mitigación mejorada?
El Kit de herramientas de Experiencia de mitigación mejorada (EMET) es una utilidad que ayuda a prevenir que se exploten vulnerabilidades de seguridad en el software. EMET logra esto mediante el uso de tecnologías de mitigación de seguridad. Estas tecnologías funcionan como obstáculos y protecciones especiales que debe sortear el autor de un ataque para aprovechar las vulnerabilidades de software. Estas tecnologías de mitigación de seguridad no garantizan que no se puedan explotar las vulnerabilidades de seguridad. Sin embargo, su misión es dificultar al máximo dicha explotación.

EMET Security Mitigations	Included
Attack Surface Reduction (ASR) Mitigation
Export Address Table Filtering (EAF+) Security Mitigation
Data Execution Prevention (DEP) Security Mitigation
Structured Execution Handling Overwrite Protection (SEHOP) Security Mitigation
NullPage Security Mitigation
Heapspray Allocation Security Mitigation
Export Address Table Filtering (EAF) Security Mitigation
Mandatory Address Space Layout Randomization (ASLR) Security Mitigation
Bottom Up ASLR Security Mitigation
Load Library Check – Return Oriented Programming (ROP) Security Mitigation
Memory Protection Check – Return Oriented Programming (ROP) Security Mitigation
Caller Checks – Return Oriented Programming (ROP) Security Mitigation*
Simulate Execution Flow – Return Oriented Programming (ROP) Security Mitigation*
Stack Pivot – Return Oriented Programming (ROP) Security Mitigation

Si eres un administrador de sistemas como yo, con apenas conocimiento sobre el mundo del reversing y del exploiting, creo que cabe destacar que Emet implementa medidas de seguridad para las técnicas habituales de explotación de vulnerabilidades en sistemas Windows. No funciona como un antivirus y su motor de firmas, sino que protege de comportamientos no deseados, como el intento de evadir DEP, ASLR, etc.

Si quieres profundizar en alguna de las tecnologías de evasión puedes leer esta guia en castellano, del instituto ese público famoso en España. 

Si queréis leer más sobre Certificate Pinning.

Heap Spraying.

Lo mejor es probarlo, instalarlo siguiendo las opciones por defecto, hasta llegar a la interface gráfica.

Como se puede apreciar en la imagen, tenemos una lista de procesos en ejecución, y un icono de si está usando las medidas de protección Emet. Vamos a tomar un proceso como Winword.exe, para configurar su protección.

Tan sencillo como habilitar las opciones de seguridad.
Otra vista más gráfica y representativa puede ser esta.

Una de las opciones a destacar es la posibilidad de integrar la instalación de la herramienta mediante paquetes MSI con GPO´s de Active Directory o Configuration Manager.

Tenemos una línea de comandos preciosa, que nos sirve para habilitar/Deshabilitar medidas, o para usar una configuración base para todos nuestros equipos, mediante un fichero xml de configuración.

<EMET Version="5.1.5426.28431">
  <Settings>
    <ExploitAction Value="StopProgram" />
    <AdvancedSettings DeepHooks="True" AntiDetours="True" BannedFunctions="True" />
    <Reporting Telemetry="True" TrayIcon="True" EventLog="True" />
    <SystemSettings DEP="Application Opt In" SEHOP="Application Opt Out" ASLR="Application Opt In" Pinning="Enabled" />
  </Settings>
  <EMET_Apps>
    <AppConfig Path="*\Adobe\Acrobat*\Acrobat" Executable="Acrobat.exe">
      <Mitigation Name="DEP" Enabled="true" />
      <Mitigation Name="SEHOP" Enabled="true" />
      <Mitigation Name="NullPage" Enabled="true" />
      <Mitigation Name="HeapSpray" Enabled="true" />
      <Mitigation Name="EAF" Enabled="true" />
      <Mitigation Name="EAF+" Enabled="true">
        <eaf_modules>AcroRd32.dll;Acrofx32.dll;AcroForm.api</eaf_modules>
      </Mitigation>
      <Mitigation Name="MandatoryASLR" Enabled="true" />
      <Mitigation Name="BottomUpASLR" Enabled="true" />
      <Mitigation Name="LoadLib" Enabled="true" />
      <Mitigation Name="MemProt" Enabled="true" />
      <Mitigation Name="Caller" Enabled="true" />
      <Mitigation Name="SimExecFlow" Enabled="true" />
      <Mitigation Name="StackPivot" Enabled="true" />
      <Mitigation Name="ASR" Enabled="false" />
    </AppConfig>

El comando para importar el fichero podría ser: emet_conf.exe --import fichero.xml

Espero que os guste la idea, y por supuesto, gracias por leerme.

Pass The Hash. Visión defensiva.

Pass the Hash...
Como todos sabéis o no... los ataques pass the hash se basan en la utilización de credenciales "ajenas" en servicios que requiere autenticación mediante el hash de la contraseña. Esto que quiere decir? En determinados escenarios es posible obtener el hash de un usuario, que no deja de ser una representación matemática, y anteriormente conocida como "única" ( no hay dos elementos distintos con el mismo hash, algo que ha quedado sobradamente comprobado en varios algoritmos, léase MD5, SHA1 etc.) pero por su complejidad puede que sea inviable "descifrar" la clave en claro. En un formulario de login, como pueda ser el inicio de un sistema operativo, no podemos copiar el hash en el apartado de la clave. Sin embargo, hay servicios de red, como el utilizado para
compartir carpetas en sistemas Win, que si aceptan la "clave" con el formato hash. Otras soluciones intermedias, como el caso de los sistemas Single Sing On ( Un programa que enlaza nuestra clave de facebook, de twitter, de windows, del correo,etc bajo un solo elemento de autenticación, como puede ser una clave, un elemento biométrico, etc) son susceptibles de ser empleadas maliciosamente con el hash de un usuario. La utilización de herramientas de terceros, como PSEXEC.exe integradas en el framework Metasploit también facilitan el trabajo xD.

Es importante mitigar el daño que podría hacer en nuestras organizaciones el uso incorrecto por parte de un atacante de los preciados HASHES del sistema.
Como sabéis, las principales vías de obtención de Hashes de cuentas en sistemas win son la obtención de credenciales en "cache" por los procesos del sistema (Local Security Authority Subsystem LSAS), el famoso fichero SAM y NTDS.DIT. La diferencia de estos dos ficheros es que en el caso de SAM se almacenan las claves en Hash de los usuarios locales, mientras que en NTDS se almacenan
las credenciales de los usuarios del Directorio Activo.

Una medida de protección lógica es implementar una política de contraseñas para usuarios locales. Es decir, que si tenemos nuestra empresa montada con una infraestrucutra de Active Directory, debemos fortificar el acceso local, a la LSD (Local Security Database). En un principio con esta medida implantamos una capa de protección, pero debemos crear un proceso en el que la clave no sea la misma para todos los equipos locales. Crear un algoritmo-casero para la clave, usando por ejemplo el nombre del equipo sería una buena idea. De esta manera aislamos el impacto de un ataque de pass the hash, o simplemente de fuerza bruta en un pc, y no sobre la "granja" de cacharros.

Microsoft clasifica las actividades Post PtHash de dos maneras:
Movimientos laterales, en los que un sistema se ve comprometida, se obtienen las credenciales, y se accede a otro sistema usando las mismas.
Escalada de privilegios. Imaginaros el caso en el que accediendo a un pc de la red, mediante claves locales, accedemos a un servicio de red (LSASS) de Active Directory que tiene en cache los tokens de autenticación del administrador del dominio... La medida general para este caso sería la de no utilizar cuentas privilegiadas del dominio para "arreglar el pc" del señor de marketing...

Mas medidas a tomar en cuenta, generales para cualquier proceso de hardening, y para este en concreto son.

No instalar/correr servicios con cuentas privilegiadas. Por ejemplo, cuando instalamos un programa que se arranca como servicio, sea cual sea, se ejecuta con los privilegios del usuario. Imaginaros un programa cual sea dentro de la empresa, un programa de inventario !!! Si ejecutamos el servicio como usuario SYSTEM, y encontramos una vulnerabilidad en el programa, por ejemplo, que
podemos acceder a una ventana de consola, todo lo ejecutado en esa consola tendrá permisos SYSTEM. Crear un usuario "servic_inventario" para arrancar el servicio, y aplicar los permisos NTFS concretos a la carpeta que necesita el programa, y nada más, solucionaría en parte el problema.
Lo mismo ocurre con las tareas programadas. Esa tarea que habilitamos en el pc del usuario, por ejemplo un backup, en la que introducimos un usuario potente. Imaginaros el hipotético caso de que se presenta un error, y se le devuelve al usuario una ventana del sistema...

En los casos de controladores de dominios, en la instalación de A.Driectory se nos muestra la ruta por defecto de la base de datos de credenciales, pudiendo moverla a una ubicación "escondida" pero esta técnica mas que una solución, es una medida de incordio para el atacante ( quien no sabe buscar un fichero...).

Otra medida interesante podría ser la utilización de un proxy, integrado con el servicio de directorio, para denegar la navegación a todos los usuarios con permisos administrativos del dominio. Squid Proxy nos permite dicha integración sin problemas.

Usar todas las opciones de administración remota que nos aportan los sistemas operativos "modernos" como son win7,8, 2008r2 y 2012 como son WMI que emplean Kerberos como mecanismo de autenticación, sin dejar en cache la clave. Por ejemplo, remote desktop, mmc remota,powershell RM, registro remoto, iis "integrated windows authenticatión" no almacenará en
disco ninguna credencial, pero si en LSASS.exe

Reiniciar los sistemas !!!. He visto servidores Windows, de los que hay que reiniciar los segundos martes de cada mes por las Updates, con un uptime de 2 años... Pero encima, los sysadmin orgullosos de ello !!! panda de... No es ningún delito reinicar un servidor en horas de baja productividad. Para que? pues simplemente para evitar ataques persistentes, en los que el atacante consigue entrar al sistema, pero no consigue habilitar un acceso posterior al reinicio del server. Parece una tontería, pero te puedes quitar varios problemas con una politica de reinicio del servidor.

Deshabilitar el acceso remoto para claves locales del equipo. Si bien esto se efectúa por defecto, revisar esta configuración para no descubrir sorpresas.
Una medida para evitar movimientos laterales es usar las reglas del firewall entre los equipos. Si en teoría tenemos una infraestructura en la que todo se comparte mediante el servidor, no necesitamos comunicación entre los equipos. Por cierto, en win8 y 2012 ya se puede bloquear el tráfico out saliente xD.

Evitar entrar en ciertos pc conflictivos. Imaginaros el caso de un pc aislado de la red, una dmz de pc cliente. Por ejemplo en mi anterior empresa se usaba un pc así con una impresora conectada, para los profesionales externos a la organización que querían acceder a un correo en un sitio no autorizado ( hotmail, gmail, yahoo...) o simplemente conectar un usb. No uses el mismo juego de claves que usas para proteger el sistema de la empresa... Esto es válido para sistemas SCADA, máquinas "antiguas" sin posibilidad de hardening, en fin, ya sabéis de lo que hablo ( creeis que no hay máquinas por el mundo con windows 98?).

Deshabilitar la politica de grupo para los LM Hashes. Esta opción está marcada por defecto a partir de windows 2008 creo recordar, pero en casos en los que se realizó una actualización de un sistema previo 2003, puede que no esté operativa dicha política de grupo.Lo mismo para NTLM, en el caso de no contar con ninguna máquina "antigua" que hago uso de este sistema. Microsoft enfatiza
el uso de tecnologías basadas en tickets Kerberos, aunque estos también se pueden "usar maliciosamente" (Pass the Ticket attack). La manera mas sencilla de realizar esto, al menos para las cuentas sensibles es habilitar la opción " Account is sensitive and cannot be delegated".

Espero que os haya servido un poco este artículo para concienciar en la necesidad de "trabajar" los servidores y recursos de la empresa, y marcaros un punto de inicio en esta labor.

Si queréis profundizar un poco más en los aspectos nombrados en el post, os aconsejo varios recursos. En español teneis el magnifico libro de Sergio de los Santos publicado por Informática 64.
En ingles podéis leer este recurso.

Como siempre, gracias por leerme.

MBSA, TIENE NOMBRE DE MASTER PERO NO LO ES...

Sigo en la línea de mis anteriores publicaciones, esta vez hablando de Microsoft Baseline Security Analizer.
El nombre lo dice todo. Es una herramienta gratuita de Microsoft, para analizar el estado de las actualizaciones de los productos Ms, de todo nuestro dominio o rango de ip´s. Aparte de comprobas los update´s, tambien detecta algunos aspectos básicos de seguridad, como son usuarios locales sin clave, aspectos del IIS etc.
Las "teclas del piano" son sencillas.

Se da el rango de ip´s o nombre de dominio, se habilitan los check´s que necesitamos, y empezamos el scan. tarda un poquito, ya que descarga de internet toda la información relativa al estado de los updates.
como podeis comprobar en la última instantanea, el resultado es muy sencillo, y crea los links para que el trabajo de descarga sea sencillo. Muy recomendable.

Anti virus gratuito y legal.

Voy a empezar mi andanza por el mundo de los blog´s, y en concreto con este intento de documentar mis escasos conocimientos de seguridad con un antivirus.

El antivirus comentado es Microsoft Security Essentials. Es gratuito para uso personal, o para empresas de menos de 10 pc´s, pero olvídate de cualquier tipo de administración centralizada, como pueda ser la descarga de firmas, configuración de análisis, etc. Ah ¡! un pequeño detalle, gratuito si en tu pc´s existe una licencia de Windows válida J

El antivirus en cuestión es muy ágil, ocupa unos 80 megas en RAM, y no es de los más molestos que he visto, protegiéndonos en gran medida de las amenazas existentes.

La descarga la podéis hacer desde la Web de Microsoft http://windows.microsoft.com/es-ES/windows/products/security-essentials

Para mí, sin duda, una muy buena opción a usar programas de pruebas, pirateos de soluciones profesionales y demás.

Disfrutar ¡!!