martes, 28 de junio de 2022

Cumpleaños feliz...10 años de blog:Devolver a la comunidad un poco de lo que nos da. xD

 Estimados amigos de Inseguros !!!

Ni me había dado cuenta, literalmente el tiempo pasa muy rápido, y en este Febrero el blog hizo 10 años !!!.

10 años en los que ha habido de todo, pero al menos, un par de post al mes. En otras épocas muchas más, pero para mi es un logro, porque anda que no hay "proyectos" que iniciamos y dejamos a medio. El mundo del blog es uno más.

Si retomo alguna de esas listas de "páginas amigas" sospecho que quedarán muy pocas. Es normal. O no... Cuando eres jóven tienes hambre... pero hay que mantener esa necesidad de aprender, y de contar, despierta.

No vale con que hayas conseguido el trabajo de tu vida...

Recuerdo a amigos del principio, mis ídolos, gente como Nolla y Chron, como Pedro Candel, como Rafaello, gente que te decían: hacemos esto por devolver a la comunidad algo de lo que nos da... Resulta que se me quedó esa frase. 


Algunos creen que no me gusta el movimiento GNU por eso de que soy "Wndosero", pero realmente, me he dado cuenta con los años que claro que me gusta !!! Lo práctico con cada post en las redes, con cada artículo en el blog, con cada mensaje privado que contesto, con cada conferencia a la que voy sin cobrar nada... pero eso no se llama GNU, ni se llama MVP, me gusta más lo de "devolver a la comunidad".

Quizás por estas cosas, nunca tendré un canal en Twitch para ganar visitas, para ganar dinero... y si lo hiciera...no nunca, pero si lo hiciera, no lo llamaría comunidad...lo llamaría negocio.

No me considero el lider de una comunidad con tropecientos mil seguidores, dispuestos a vender sus órganos por mi... me conformo con que me dejan entrar de vez en cuando es sus pantallas...

A día de hoy estas actividades me cuestan dinero, en formato monetario, y en formato esfuerzo y tiempo. Pero la verdad que me gusta. Me gusta buscar información y que la "magia" de Internet se presente en forma de artículo de Inseguros en Google.

Recuerda que Internet, aparte de para los "americanos" y sus guerras, se creó con el espíritu de compartir. Fíjate en todo lo que has aprendido en la red, y piensa cuanto has devuelto tu a la red...

Yo tengo déficit, Internet para mi fué un cambio de vida, el acceso a la información, y estas teclas mal escritas por un murciano medio marciano son lo mínimo que puedo hacer.

Y por supuesto agradecerte a ti, amigo que me lees. Que no solo das a me gusta en la red, sino que te esfuerzas en descifrar mi texto.

Espero que Internet medio libre, siga muchos años, y que Inseguros tenga un pequeño espacio en vuestras lecturas. Lo de comprar un dominio ya si eso... xDD

GRACIAS !!!!


martes, 24 de mayo de 2022

Resines el nuevo jóven: La Vejez...

 Estimados amigos de Inseguros !!!

Hace tiempo que quería expresar un poco esta idea, y al ver el otro día a Resines en la TV se me ocurrió montar el hilo conductor por ahí.

No voy a hablar de bits y de bytes, sino de la obsolescencia programada, en este caso de las personas.

Vivimos en una sociedad en la que los jóvenes mandan, las tendencias, las modas. En los tiempos modernos siempre ha sido así. 


Con el tiempo me estoy convirtiendo en el abuelo cebolleta que de jóven me reía. Ese que te cuenta siempre las mismas historías, que nada más que hace referencia al pasado. Es normal. La vida se nos escapa. 

Aún con 40 años que tengo, siento como poco a poco la vida me va poniendo en su lugar, en un papel secundario dentro de esta película, que sin duda protagonizan otra "raza de guerreros y guerreras", los jóvenes. Guapos, educados, preparados o no, pero en "la cresta de la ola". Yo les cuento a mis cercanos que no se crean especiales, porque manejan cuatro palabras del momento, porque yo en mi momento también las manejé, es innato de la juvetud, pero eso precisamente es ser un abuelo cebolleta. :-)

Veo como la sexualización ( existe? ) abarca todas las áreas de la vida pública. Claro, antes era la TV y dos canales, ahora en cualquier medio impera la belleza, el sexo, vender lo guapo. Y yo me pregunto que qué merito tiene una criatura de 18 años de tener la piel tersa, cuidada, sin signos del paso del tiempo, o una belleza que crearon sus padres...follando...haciendo algo que hacen los perros, los gatos, algo poco especial... Pero esto sigue siendo síntoma de vejez, porque de joven me gustaba presumir de mi "belleza" a mi manera. No en redes sociales, pero al final todos nos vestimos con la ropa que nos gusta, nos sienta bien, y nos identifica como grupo, al menos de jóven...

El profesor Arsuaga lo dice en su último libro, comenta al cambio de paradigma que existe con la vejez. Deberíamos cuidarlos? deberíamos aprender de ellos?

En la época prehistórica seguramente habría noches de baile, festividad, pero habría otras de sentarse alrededor de un fuego y escuchar al abuelo, que tendría mi edad, contar como mató aquel Jabalí y como pudieron comer durante semanas, o cualquiera de las anecdotas que pudieran contar. Lecciones de vida que preparaba a los jóvenes ante un futuro mucho más incierto que el actual.

Era una sociedad en la que se valoraba el conocimiento, transmitido de personas a personas, y en las que el abuelo seguro tenía un papel fundamental en el traspaso.

Hoy en día somos "jovenes" cada vez más tiempo, porque el abuelo de 38 prehistórico, ahora practicamente lleva unos años trabajando, aún no ha tenido hijos, o los ha tenido hace poco. Vivimos muchos años, el doble, pero pasamos a ser "desterrados" precipitadamente.

Y es normal !!! la película y el mundo es de los jóvenes !!! y pobre el que no entienda esto, y viva como un adolescente con 50 años, haciendo el ridículo, con la ayuda del botox o la ropa de Pull&Bear...

Pero que tiene que ver Antonio Resines con esto? Como sabéis Resines participa de vez en cuando en La Resistencia, un programa de humor, para jóvenes, se supone que "transgresor" pero que con la fama y el dinero, se ha vuelto... digamos que menos "in".

Es curioso como la mayoría del público, incluso el presentador, milenials orgullosos de serlo, de ser una generación que sabe mucho de algo, pero poco de todo, con el mayor acceso a la información visto en la historia, pero con un uso paupérrimo de la misma, no conoce la obra de Resines. Sus películas, sus series, su trayectoria. 

Resines es un señor mayor, y como muchos, tiene mucho que contar. Encima con humor. Y ha "cuajado" en la Resistencia. La gente no lo conoce por su obra, lo conoce por este programa, pero gusta !!!

Algo similar pasa con Boris Izaguirre, loca televisiva de los últimos 25 años en España, pero ojo, literato reconocido, culto, y una persona como poco, interesante. El tipo decía que creía que la gente lo quería porque salió en Crónicas Marcianas hace 20 años. Y no es así, la gente lo quiere porque es un tipo al que hay que querer. No entres en este detalle.. habrá quien no lo soporte, pero es un mayor !!! tiene mucha vida recorrida, y tiene mucho que contar.

En los trabajos ocurre algo parecido. No encontramos personal, per pasados los 50 la gente que toca la lista del Inem lo pasa mal. Yo temo ese momento, y no a base de botox, pero si de muchos libros y sacrificio, preparp ese momento, para cuando no se me quiera.

Profesionales preparados, con mucho que aportar en las empresas, no los contratan por la edad. La edad tiene cosas muy buenas y cosas muy malas, es cuestión de valorarlas. Pero no desechar al mayor solo por la edad. Es algo que TODOS vamos a alcanzar, eso espero y os deseo :-)

Espero que entiendas que este concepto que comento, y que como dice el rapero Kase-o, no quieras cambiar el mundo con un Tweet, preocúpate primero por los tuyos, y ve a ver más a tus abuelos o padres... seguro que ganas en experiencia y amor.

Espero que te guste esta reflexión, si tienes menos de 40 seré tu nuevo "abuelo" y si estás en mi edad, seguro que más o menos me comprendes.

Gracias por leerme !!!


lunes, 23 de mayo de 2022

Trabaja los libros: Mi método

 Estimados amigos de Inseguros !!!

La gestión del tiempo y la información que nos llega a diario relacionado con nuestras áreas profesionales o de interés es cada vez más grande, inhumana diría yo.

Cientos de artículos, post, comentarios aparecen día tras días, y no menos libros o documentos un poco más serios.

Es importante saber organizarse y en este post os voy a dar algún consejo, o más bien mi visión de como me organizo yo en estas tareas.


Hace poco tuve que hacer la labor de organizar 100gb de información que llevaba guardando no se cuantos años, para organizar el temario y las clases del máster en ciberseguridad en entornos Microsoft que estoy dando con Verne

Pero no solo por esto, sino por la rutina de estudio que he llevado siempre.

A mis compañeros del trabajo les doy siempre el mismo consejo: Trabaja los textos.

A ti te llega un documento, un manual, un procedimiento con algo de texto. En ese momento que llega a tus manos, posiblemente le hagas una lectura trasversal para ver de lo que va. Si es bueno lo guardas para "después" "pendiente" o como sea esa pozo sin fondo de documentos que guardas.

Es muy habitual que la Tweets con información importante que me llevan a un post, pero lo mismo estoy en un taxi, a la puerta del médico, o sentado en un trono... :-) Quizás no sea el mejor momento de estudiar evasión de antivirus con reflexión de dll´s en .net... lo envio a una carpeta del mail.


Intento poner en el asunto ya de que va, de qué área de interés es: general, azure/0365, Windows, Linux, web, SOC... suelen ser mis asuntos favoritos.


Pero luego llega a donde vamos, a libro. Empiezas a leerte el libro y con el tiempo te das cuenta de que cuando eras novato te interesaba el 99% de las páginas, y cuando tienes cierto conocimiento, con algunas pinceladas, ideas o líneas es más que suficiente.

Pero lo suyo es abrirte un hoja de texto. En su momento usábamos papel, post-it... pero es muy habitual que yo necesite tomarme notas.  Por ejemplo, en qué página está ese párrafo que quiero re-leer con detenimiento otro día. O la página donde está el procedimiento concreto de algo, pero que en ese momento no voy a poder hacer ,pero quiero  hacerlo. Conforme avanzan las páginas, encuentro conceptos nuevos, tecnologías, "cosas", y voy apuntando que tengo que ampliar esa información...

Al final no se trata de leer un libro y entenderlo, se trata de interiorizar, de aprender, pero de aprender de verdad, de comprender !!!!

Yo para más INRI suelo tomar estas notas por tecnología o concepto. A estas notas le añado un excel donde pongo: KERBEROS, y empiezo a poner líneas: documento1.txt, siguiente línea, una url, siguiente línea documento3.doc, siguiente línea pág545 libro noseque...

El día que me meto de lleno, "desempolvo" Kerberos y retomo todo, lo que algún día leí, descartando lo que ya interiorice, y centrándome en lo nuevo, en eso que tengo que aprender. Lo mismo para aprender un párrafo necesito media hora, y para un libro 10 minutos, pero esto hay que organizarlo.

Cuando estamos en un cliente y necesito algo de Kerberos, por decir algo, me suena, ya lo he trabajado. Quizás no sea capaz de hacer el último ataque o proceso, pero se de que va. O si !! lo mismo si se hacerlo porque ya lo he trabajado, pero seguro que de Kerberos me quedan años de estudio, profundizar hasta llegar al cero y al uno, a los nuevos fallos, a las nuevas implementaciones. Uno no se cansa nunca de estudiar Kerberos, y tengo que tener este conocimiento guardado.

Cuando mi Jefe de la Academy me pide: kino, puedes dar este curso, o más bien, tienes material para este curso? No lo tengo en PPT ni en Word bonito, pero ya tendo un trabajo hecho en el que se que si tengo 20 gb de "kerberos", para un curso de 4 horas tengo.

Al final, no se trata nada más que de lo que hacíamos de pequeños lo del EGB que ibámos a la biblioteca, buscábamos la información de varios sitios, tomabas tus notas, y luego las plasmabas en un trabajo. Luego ese trabajo te lo estudiabas, con la sorpresa de que casi te lo sabías, o al menos, era suficiente con 5 minutos antes de clase xD.

Cuando le digo a mis compañeros que se lean un libro, y me responden: si ya lo he leido... pero no veo ese fichero, esa margama de papeles, apuntes, anotaciones... creo que si, que han invertido ciertas horas en pasar las páginas, o no, pero no han hecho lo que yo les he pedido: Trabajar el libro.

Cuando te lees un libro bueno, se te ocurren 20 servicios que ofrecer, 30 problemas que puedes resolver, 10 libros más que necesitas para ampliar... esto es trabajar un libro, y no solo leerlo.

Con la literatura "tradicional" me pasa que leo algo, me quedo con frases, pero intento hacer lo mismo que con la profesional, y me frustra muchas veces no quedarme con la cita del diálogo noseque... o incluso que se me borre de la cabeza el autor o el nombre del protagonista a los 10 días. 

Esos libros los leo de otra manera. Es como cuando leo una receta interesante en Internet y la guardo. Yo no memorizo los gramos exactos de no se que. Me quedo con "la copla" y la guardo, o ya nisiquiera la guardo... suelen estar ahí cuando las buscas. Esto es otro "trastorno" de los que conocimos la Internet que iba y venía. 


Bueno, espero que te quedes con el concepto de "trabajar el libro" y te leas muchos, muy buenos, y que me recomiendes alguno xD


Gracias por leerme !!!

miércoles, 13 de abril de 2022

Desinformación en la era de la información... Youtubers...

 Estimados amigos de Inseguros !!!

En el post de hoy voy a hablar de algunos... quemes que he tenido, o que tengo, o de mi visión un poco de este asunto relacionado con los youtubers, la falta de información real, credibilidad, etc. Un cocktail molotov de sentiminentos ágrios, mala leche y un poco de humor de la casa xD...

Para poneros en contexto, como sabeis muchos, me gusta leer, sobre literatura relacionada con la tecnología, aunque tambien leo ensayos, biografías y cositas off-topic-tech.

Soy un fiel defensor de que para ser un buen cocinero, tienes que haber estado 3 veranos en un hotel de la costa pelando patatas, y que si has hecho un master de 1 año y has montado un restaurante "gastro" con el dinero de papá te lo mereces un poco menos... voy calentando la "moto".

Los viajeros !!!

Voy a empezar a hablar por los youtubers,  pero no por la modalidad de red social que emplean, aunque también podrían ir por ahí los tiros, sino por ciertos "ámbitos". En concreto voy a empezar por los youtubers de viajes.

Tu te vas a "Torrevieja" o a "Medina del Campo" o a Paris o a New York como turista, y vas a hacer el 90% de la cosas que hacen/hacemos todos. Vas a caer en los sitios turísticos... porque la ciudad te lleva hacia allí. Vas a comer/probar/comprar/visitar las mismas atracciones, eventos, perritos o hamburguesas. Vas a echarte las fotos en las mismas calles, plazas y museos. Sino el 90, el 85... pero no te creas especial porque fuiste a "Grecia" sin rumbo y acabaste el barrio de marras ese donde hace tanto calor...

No eres especial, eres un turista. La historia es que ahora han proliferado las "parejitas" que quieren pagar sus viajes con nuestras visitas en la red, en los que aportan poco, nada, incluso molestan.

El decidirme a escribir sobre estos fué a raíz de un video que vi hace unos días y entré en cieta discusión con la pareja. Una pareja que viaja a China. Ya sabeís lo que es tomar un avión, perder 3 horas antes... el ajetreo... hacer escala en Suiza creo que era, de más o menos tiempo, pero vuelta al ajetreo... para hacer 12 horas de viaje... para llegar a destino.

Aquí empiezan las cosas cuestionables, por ejemplo, esperar nosecuanto tiempo para coger dos buses llenos de gente para llegar a tu destino, para ahorrarte 10 euros... Después del demacre del viaje... bueno, entiendo que cada uno tiene un bolsillo, pero esos 20 minutos / 1 hora invertidos, para mi valen esa comodidad de pillar un taxi... Pero esto no es la vaina... La historia es que al final, es que es rata ( ahorrador) es rata para todo, y para amortizar el día, conforme llegan se van de excursión por ahí. La chica hay un fragmento que le dice, con cara descompuesta: no puedo más !!!

Bueno, esto es una opinión más o menos fudamentada, pero a donde voy, al objetivo del post, la desinformación. Gente sin ningún conocimiento, preparación, estudios, dedicación, "enseñando" lo que saben de una ciudad. Un contenido, un aporte, que tu vas adquirir en el minuto cero en el caso que hagas ese viaje.

Donde han quedado esos aventureros, exploradores, viajadores... divulgadores... esas guías de los sitios más desconocidos de... o donde comer la mejor tortilla de donde... o como moverse por no se que... JODER, algo que aporte algo. 50.000 videos de comerte el bocadillo de pescado en Estambúl, que es lo primero que haces el primer día... APORTE CERO, pero millones de visitas y facturación... no se si me sigues por donde voy...

Los expertos en crypto-cosas


Estos los he tenido tambien en el radar durante unos meses... Me acerqué a ese mundo por los juegos NFT´s, por el mayor timo de la historia reciente. Pero eso es otra cosa.

Expertos en cryptos. Con un portafolio diversificado de no se que, con unos términos que alucinas. Parecen chicos recien salidos de una carrera de 5 años, dos master,s y 5 años en la City londinense, pero no !!! han visto 4 videos y tienen invertidos 50 euros...

Hay otros que si manejan pasta,  pero cómo empezaron? haciendo videos de como ganar dinero. No ganan dinero montando rig de mineria. Hacen un video para que tu lo hagas. La empresa del rig les paga el rig y aparte publicidad. El te dice que gana 20.000 euros al mes, ojo, te dice que no es un consejo de inversión... que hay que pagar el aparato... pero eso lo dice en pequeño, lo grande es que gana 20.000 al mes...y de donde gana es de hacer el video. Asi un montón.

El otro... como he conseguido unos ingresos pasivos de 20.000 euros al mes... y empiezan las mentiras. metió 10k en bitcoin y ahora valen 30k... pero mientras que estén ahí, no tienes NADA, tendrás cuando los saques, no puedes asumir que en un año has ganado "20k" y hacer la media, porque eso es mentir.

Pero cuando se sincera el tipo, al final gana más dinero con los referers de los productos que publicita y los videos, que son su "inteligencia de trader"...

Por último, el inversor de propiedades. Lo mezclo con las crypto porque suelen mezclarse. El tipo con 30 años, los dos, el que entrevista al fiera y al que quiere ser un fiera... sigo, 30 años y un patrimonio de 35 casas y unos ingresos pasivos de nosecuanto... joder que fiera !!!  si yo debo una casa y contento de poder pagarla...

Entre líneas de la entrevista, entre frames, muy bajto, el tipo explica que empezó con 4 apartamentos de la familia y desde ahí.... ahhhhhhhhhmigooooooooo. Que tu te has hecho a ti mismo, pero empezaste con MAS, y no como todos, con MENOS. Lo mismo, ingresos de viviendas, cryptos y youtubes.

Conclusión...

Con este texto quería comentaros algunos "quemes" que he tenido hace poco. Tengo muchos !!! soy muy haters con algunas cosas !!! pero por encima de estas anecdotas, o visiones u opiniones, quería poner en relevancia lo asociado con el título.

La desinformación. Que llega un tipo y te dice que la tierra es plana, y si escuchas 3 videos, llegas a pensar que puede tener razón, y si escuchas 10 te lo crees !!!

Vivimos en una época en la que la información y el dato es un activo muy muy importante, y se maneja gratuitamente para ganar dinero... Usan al expectador para contar cualquier cosa, sin valor, incluso falsa, pero suben las visitas y las ganancias.

He visto videos de gente hablando de hacking y los seguidores diciendo: no me dedico a esto pero lo flipo contigoooooo. Gente que le siguen en su canal de hacer tartas, gente que no hace tartas, solo porque les gusta el formato.

Siempre he sido de cuidar mucho más el fondo que las formas, quizás por eso estoy gordo y visto de negro, pero me pone negro por dentro que esta gente tenga el poder de innotizar a las masas con colorines y capturas de pantalla y se hacen ricos.

Post Conclusión...

Si has llegado hasta aquí, gracias. Quizá no opines mucho como yo, en mayor o menor medida. Pero ahora te voy a lanzar algunas cuestiones. Tus hijos, hijas, siguen youtubers? Sabes de qué hablan? sabes de quien se fijan tus hijos? Gente de 30 años hablando de como ven ellos el sexo, con público de 12... Digo sexo porque es algo que nos causa un poco de estupor, pero llévalo a cualquier parte. El yotuber de ahora es "nuestro" famoso de antes. Pero el famoso de antes tenía una "aura" de especial, la tv, la distancia. Ahora ver a tu youtuber favorito en "pijama" los acerca mucho, a los jóvenes, y tienen un poder persuasor mucho más profundo que el que podíamos tener nosotros con nuestra estrella de Hollywood...porque estaba más lejos !!!

Bueno, espero que me entiendas al menos, gracias por leerme !!!

lunes, 28 de marzo de 2022

Sysmon Event Simulator

 Estimados amigos de Inseguros !!!

Largo y tendido sobre sysmon escrito hemos he...xD

En esta ocasión vamos a mostrar una herramienta ligera que nos va a ayudar en nuestros procesos de detección. La herramienta simplemente nos pide el id del evento que generemos generar, y lo realiza, para comprobar que nuestro Sysmon, y en consecuencia nuestras reglas sobre él: Splunk, Sentinel, etc están funcionando como cabría de esperar.

Crear procesos que levanten una DNS query son sencillos, pero quizás otros no sean tan cómodos de replicar, para testear la lógica.

La herramienta se puede descargar del proyecto del autor https://twitter.com/ScarredMonk con el nombre de SysmonSymulator.

Compilamos la solución y con el exe, procedemos a actuar.

Probamos generar "ruido" con procesos como conectar una canalización por nombre ( comunicación de procesos nativa de Windows).


Y así hasta generar todo el ruido que necesitamos.

Espero que te sirva para tus procesos, y mirar el código no tiene desperdicio por si queremos cambiar al gún nombre o valor y simular un poco más con detalle alguna maldad xDDD

Gracias por leerme y gracias al autor por su trabajo.

lunes, 21 de marzo de 2022

Usar mi mac con cliente vpn como enrutador para la red local

 Estimados amigos de Inseguros!!!

Este artículo me hubiera servidor en otras muchas ocasiones, pero lo he ido solventando de una u otra manera.

La situación es la siguiente, necesito conectarme a una VPN Meraki l2tp que usa un protoco 3des que no es compatible con los nuevos kernels... y no hay manera... Pero esto se puede hacer extensible a cualquier entorno.

La situación es usar mi macbookpro como servidor de gateway. Es decir, conecto el mac con un cliente vpn a mi destino, y a los equipos de mi red les digo que usen el mac como enrutador.

El proceso es sencillo, primero prueba sin conectar el mac a la vpn, habilitando el forwarding, cual kernel linux. 

sudo sysctl -w net.inet.ip.forwarding=1

Ahora ve a tu cliente, en mi caso un linux, pero valdría cualquier dispositivo, por ejemplo una tv para usar netflix en otro pais, y pone de puerta de enlace el mac.

Con esto deberás poder navegar. Ahora conecta el mac a la vpn, y prueba, no debe irte.

La solución sigue siendo sencilla, cuando la conoces:

/private/etc/pf.conf 

nat on ppp0 from 192.168.1.0/24 to any -> (ppp0) 

pfctl -d 

sudo pfctl -F

sudo pfctl -f /etc/pf.conf -e .

sudo pfctl -s nat

Tienes que escribir la línea del enrutado JUSTO debajo del anchor-nat del fichero, no al final. Esto me ha costado muchas horas y mucho wireshark.

La verdad que en otras ocasiones me he peleado mucho con los clientes linux no soportados, problemas con ipsec, y de esta manera, easy.

Espero que te sirva algún día.



Ciberseguridad: No siempre es problema de dinero...

 Estimados amigos de Inseguros !!!

En el post de hoy no vamos a aprender sobre la tecnología X o Y, sino me vais a permitir reflexiones o divagar sobre el concepto que indica el título, que en la ciberseguridad no siempre tenemos el problema del dinero como principal factor...

Entre pitos y flautas, entre mi primer report de Nessus en bruto hasta hoy, han pasado más de una decada en el mundo de la ciberseguridad. Mi trabajo actualmente se centra en las auditorias de seguridad, pentesting, redteam, purple team y en consecuencia blue team.

Ayudo o intento ayudar a empresas de todo tipo. Desde grandes organizaciones que te piden auditar un segmento concreto, un proceso web concreto, un ámbito muy escueto, o empresas de 20 personas que perciben que la ciberseguridad es un problema y acuden a nosotros.

Empresas de facturación por encima de los 300 millones, empresas con facturación cero, start-ups, empresas con una madures informática importante, empresas con el servidor compartido por el administrativo. Todo tipo de empresas.

Por otro lado estamos nosotros, los profesionales. En muchos eventos, foros, reuniones, chascarrillos, me encuentro en que el pensamiento generalizado es el de que como falta presupuesto para la ciber...que no hay dinero...

Con esta reflexión vengo a poner sobre la mesa lo que pienso, y es que esto es FALSO, rotundamente falso.


Estoy muy orgulloso de los resultados de las auditorias que ofrecemos, porque hemos puesto mucho énfasis en aportar mucho valor al cliente, con soluciones detalladas a los problemas encontrados, e intentando abarcar el máximo ámbito posible. Me explico, no invertimos mucho tiempo en procesos de fuerza bruta, que seguramente con la dedicación previa, creación de una wordlist, consiguieramos buenos resultados. Si ante el problema de una autenticación, son contraseñas débiles/defecto/leaks... automáticamente recomendamos MFA y listo. Empleamos ese tiempo en auditar otro activo que quizás requiera de soluciones más complejas. Creo que tiene más valor aportar 10 soluciones a 10 problemas, que una solución a un problema, aunque sea muy grave su repercusión.

En esos resultados ofrecemos al cliente un pequeño plan director u hoja de ruta, donde especificamos como creemos que deben fasear las acciones, con quickwins, corto, medio y largo plazo.

Entonces, que es lo que vemos en los clientes? 

  • La auditoria la encarga el CEO. Contento con sus TIC´s pero después de un incidente, apoya la mejora de la ciberseguridad. Nos encontramos con responsables TIC poco alineados con el trabajo, por lo que no se aprovecha del todo los hallazgos. Se convierten en una "lucha" para defender las ideas del responsable TIC, sus argumentos de porque algo estaban mal, y tu, que solo planteas lo que crees que está mal, y soluciones. Porque esta


    algo mal, tampoco nos importa mucho...

  • La auditoria la encarga un "tercero" un cumplimiento normativo, etc. Similar al escenario anterior, importa más el informe ejecutivo. La foto finish vista muy de lejos. Los resultados técnicos importan poco, y si se cambia algo es porque es fácil y le apetece al CIO.

  • No tienen tiempo. Creo que este es el principal problema que nos enfrentamos con las organizaciones. Y cuanto más grandes, cuanto más complejos son los departamentos, y más gente hay...peor. Al final el día a día nos consume muchos recursos, y es normal que los departamentos TIC no tengan los suficientes empleados como para poder "jugar" a la ciberseguridad, pero es que esto es normal, y pasa en todas las disciplinas. Cuando un trabajador rinde a un 80%, por darle una valoración, no se contrata a nadie. Cuando el trabajador rinde a un 120%, y esto daría para un post muy largo, el de la productividad. sigo, cuando un trabajador rinde al 120%. quizás se plantee incorporar a alguien más. 

    Esta persona empezará rindiendo un 30% porque tiene que integrarse... y el que rendía 120% tiene que formarlo, al final, de un día para otro, tenemos dos tipos que emplean el 80%... esto es así. *en el mundo sanitario se conoce este efecto. Si aumentaran por dos el número de centros de salud, no se reduciría a la mitad los tiempos de espera porque iríamos más. Yo no voy al médico porque paso de que me den cita para 3 meses. pero si me dan para pronto, quizás hiciera más uso de los recursos... y esto haría que se alargaran los tiempos xDDD*

    Más ejemplos. Yo no suelo tener mucho tiempo para hacer deporte...pero tengo amigos con ritmos de vida mucho más frenéticos, con agendas mucho más apretadas, con muchas más horas de trabajo, pero SIEMPRE sacan tiempo para el deporte, entonces en qué lugar queda esa afirmación mía? Si no tienes tiempo para la ciber, resérvalo. Conozco empresas que hacen el jueves de la ciber. Se reunen una vez al mes, analizan cambios, ponen tareas y establecen una línea de trabajo. Y poco a poco, día trás día, se van haciendo las acciones. Porque da igual que en la agenda ponga "reunión de dirección" o "visita comercial" con "proyecto ciber" o lo que sea... es cuestión de querer.

  • No hay encargado de la ciber. Esto suele ser otro clásico, y cuanto más grande peor, porque está todo más segmentado, y cada uno tiene su role definido... esto tiene cosas buenas y malas. La ciberseguridad puede ser algo vertical, profesional, de los "máquinas", pero la ciberseguridad está en programar bien, en desplegar bien, en administrar bien los sistemas, en configurar los entornos, esto es ciberseguridad, y si no hay un coordinador que garantice los mínimos o establezca los trabajos, pero la ciberseguridad debe estar presente en nuestro "modus vivendi".

  • Desarrollo vs Sistemas. Esta "lucha" de poder es vieja, tanto como la informática mismo, pero es una de las que más problemas presenta para las organizaciones. Siempre hay un departamento que tiene más peso que otro, siempre. Mi experiencia es que suele ser desarrollo el que tiene más poder, porque suele ser quien está más cerca de negocio. Al final el gerente no tiene un rack delante de él, pero si un ERP o un CRM. Las cuentas, los números, las ventas, todo eso se sostenta en el software, que luego debajo tiene un hardware... pero lo palpable son los formularios que nos crean los desarrolladores para los usuarios. Que debajo hay un cluster de 10 nodos y un Firewall de nueva generación, queda más lejos de negocio...

    Cuantas empresas he visto que programan en el servidor... y necesitan el root de los servidores. Que configuran sus recursos a su gusto, con la intención de que las cosas funcionen, y dentro de que funcionen, que vayan rápido, pero lo demás? es secundario. Me encuentro con programadores que nos dicen que hasta la fecha, no se habían preocupado mucho por la ciberseguridad...

    Antiguamente la seguridad se vinculaba con vlans, con firewalls, con tener copias de seguridad... y eso es de sistemas... pero ya sabeis, la ciberseguridad es COSA DE TODOS.

    Entonces, viene la pelea. Fortificas el webserver, y se rompen cosas de programación...quien actualiza las librerias... el servidor de bbdd... 


  • El "máquina de la ciber". Este caso tambien es un problema para la organización. Me ha pasado con figuras de renombre incluso, que os gustaría que os dijera xD que después de muchos años "llevando" la ciber vas y lo tienen todo... por decirlo a lo murciano... hecho un descampao...hecho un solar...hecho mistos...

    Scripts en linux inseguros haciendo procesos que llevan muchos años poniendo en peligro la empresa. Y digo linux porque el windosero muchas veces es consciente de que no está todo lo bien que se debería esperar, pero este caso no es así, este es un máquina, controla BASH ( lo que le queda de 4 prácticas de la universidad) pantallas negras... incluso un firewall con un kernel 2... basado en iptables...

    Otros parecidos, gente que gestiona una empresa de 100 personas sin directorio. Con scripts que entran a noseonde, que se bajan noseque etc... porque son antiwindows !!! y lo que es es que están poniendo en riesgo su empresa por sus preferencias, y muchas veces por su incompetencia.

  • El que no tiene presupuesto. El que no puede comprar. Existe, es habitual, las empresas minimizas costes. Volviendo al tema deportivo. Al que hace deporte, crees que le vale la escusa de que yo diga que no tengo dinero para un gym? la respuesta es obvia. Puedes salir a correr, hacer rutinas en casa, mil cosas. Con la ciberseguridad pasa lo mismo. Llevo casi 10 años escribiendo en este blog, algunos post complejos, otros sencillos, comentando herramientas y procesos que en 10 minutos mejoran la ciberseguridad de las empresas. Pero hay que hacerlos. Aquí entran los casos anteriores, el que no tiene tiempo, conciencia, ganas, ego... pero si no puedes poner un EDR de 30 euros en cada endpoint, hay muchas cosas que puedes hacer, y que en esa auditoria te indicamos, para mejorar la ciberseguridad.

    Al final, como todo en la vida, hace más el que quiere que el que puede. Me encuentro otras empresas que da gusto, con su hardware de seguridad, con su software de seguridad, con sus procesos de seguridad, sus buenas prácticas. Empresas a las que sacas 100 defectos, y a los dos años vas y sacas 30, 10 nuevos y 20 que aún no están solucionados... pero no son como otras que tenían 100, y no vuelves a comprobarlo por supuesto, pero si lo hicieras, tendrían 120...
Esto no quiere decir que estás condiciones que planteo sean "moco de pavo", todo lo contrario, son tan importantes como para ser escollos reales para mejorar la ciberseguridad, y por supuesto, es mucho más fácil enumerarlas que ponerlas a funcionar...         

Reflexiona un poco sobre esto, y si no tienes tiempo, sácalo. Reserva ya una hora cada 15 días en tu agenda y mejora esto, seas el CIO, el jefe de desarrollo, sistemas, o el informático de la empresa, pero no hay escusa para intentar hacer esto bien. 

Yo por mi parte voy a ir más al gym :-)

Gracias por leerme

martes, 15 de marzo de 2022

Enumeración de SAM remota controlada anti BloodHound !!!

 Estimados amigos de Inseguros !!!

Una herramienta que constantemente se usa en los procesos de hacking, tanto ético como criminal es BloodHound. No vamos a comentar en profundidad nada de esta herramienta ya que hemos hablado largo y tendido en este blog. Incluso hemos mostrado como montar un HoneyUser para detectar el uso de BloodHound

En esta ocasión os voy a contar algo que estamos viendo en el Master de ciberseguridad en Tecnologías de Microsoft que impartimos en Verne Academy.

Por defecto, los usuarios administradores locales pueden enumerar las cuentas SAM remotas o un Directorio... en busca de miembros o sesiones... Un comportamiento usado con el ingestor de BloodHound para enumerar el AD sin usuario válido.

Podemos limitar este comportamiento con una sencilla GPO como está:


Es una GPO un poco invasiva. No sabemos si hay software que usas que emplea esta característica para vete tu a saber. Lo típico, es más fácil decir que lo implementes que hacerlo.

Pero en esta ocasión tenemos la posibilidad de establecer la política y habilitarla en modo auditoria, es decir, no va a cortar el acceso, pero nos va a generar un precioso log, que nos sirva para analizar nuestro ecosistema y estudiar la viabilidad de la medida.

El modo auditoria se activa mediante:


De esta manera, seguiremos pudiento enumerar activos, por ejemplo: Net groups "Admins. del dominio" /domain Pero nos dejará un evento.

Espero que te sirva este pequeño truco, y no le digas a nadie que lo has leido aquí, se supone que lo damos para los alumnos del master... xDD

Gracias por leerme


lunes, 21 de febrero de 2022

Cset: Tool de auto diagnóstico en distintos Compliance

 Estimados amigos de Inseguros !!!

Muchas veces el proceso de auditoria con referencia a marcos normativos es muy delicado, ya que tienes que tener muy claros los "controles" o muy sencillo, si tienes el checklist de guía.

En esta ocasión vamos a ver una herramienta que nos ayuda con esta necesidad con una herramienta de auto-diagnóstico. La herramienta es CSET de CISA.

Podemos indicar el tipo de controles y el tipo de directiva y nos ofrece un proceso guíado con las preguntas y anotaciones necesarias.

La herramienta se instala en cualquier equipo y nos realizará una serie de preguntas y módulos, algunos como IIS y SQLExpress

El proceso de instalación termina y accedemos a la herramienta.



El proceso es casi asistido.


Ahora es cuando tenemos que seleccionar que tipo de "auditoría" o control que hay disponibles.


Vamos a realizar los primeros pasos con ACET.


Otra opción interesante es que podemos añadir al modelo de auditoría distintos marcos regulatorios.


Una vez definidos los marcos de trabajo contra los que vamos a operar, comienza el checklist, las preguntas con su valoración.

Trás un buen rato, podemos añadir un diagrama o crear con la propia herramienta.


Como puedes comprobar, es una buena herramienta de auto-diagnóstico guiada, que no requiere de conocer muy en profundidad los estandares para poder hacer la evaluación.

Si elegimos las opciones de Ransomware, nos aperece tambien el mismo modelo de auto-diagnóstico, pero me parece interesante usarlo como punto de partida para mejorar la capacidad de las empresas ante este problema.





Espero que te sirva de ayuda el uso de esta herramienta para tus assestment iniciales.

Gracias por leerme.


miércoles, 19 de enero de 2022

Mostrar diferencias en NTDS.dit para forense o monitorización

 Estimados amigos de Inseguros !!!

En el capítulo de hoy vamos a mostrar una herramienta muy interesante a mi parecer para dos propósitos principalmente. Una herramienta que es capaz de mostrar las diferencias entre dos versiones de la base de datos del Directio Activo, NTDS.Dit.


El proceso de descarga del fichero lo puedes hacer de las muchas maneras que hay.  Ya sabes que es un base de datos abierta, no puedes ir al "sitio" y copiarlo.

Mi opción más sencilla es esta:

powershell "ntdsutil.exe 'ac i ntds' 'ifm' 'create full c:\temp' q q"

Una vez tenemos el fichero, procedemos a realizar algún cambio en algún objeto del AD para poder reflejarlo en el informe.

Volvemos a ejecutar el comando de extracción y es cuando ejecutamos la herramienta NtdsDiff del genio https://twitter.com/0gtweet.


Siguiendo escrupulosamente el orden y nombre de los ficheros como nos piden el script, tenemos un reporte amable donde ver los cambios.



Como decíamos, se me ocurre usarlo de manera defensiva, para intentar detectar movimientos sobre todo de persistencia, y en actividades DFIR donde podemos ver muchos hallazgos concentrados.

El uso que cada uno le de depende del contexto, pero seguro que es una herramienta buena a tener en cuenta.

Como siempre, gracias por leerme !!!


viernes, 14 de enero de 2022

DeTTect :Framework para Auto evaluación Mitre

 Estimados amigos de Inseguros !!!

En el post de hoy voy a contar una vez más alguna cosita sobre Mitre Att@ck. Como sabeis es algo que manejo a diario y me gusta bastamte. Mi anterior artículo quizás sea una buena introducción.

La nutshell sería: un marco de referencia en donde enumerar y describir técnicas, tácticas y procedimientos que emplean los cibercrimiales, asociando la parte defensiva y ofensiva.

Dicho como en mi pueblo, todos los ataques que hacen los malos, y como defendernos.

Como sabes, hay un mapa navegable en el que podemos interactuar con la matriz, indicando Scores, colores, textos... Al final es muy útil tener visialmente un mapa del estado de mi organización, según el grado de cobertura ante los ataques conocidos. 

Por ejemplo, el T1196 Control Panel Items nos indica que hay una técnica de ataque que usan los malos para enviarnos ficheros en formato CPL y poder ejecutar payloads. Bien, nos indica que la manera de protegernos ante este ataque es la monitorización de procesos y una lista de apps permitidas y una política de negación.

Ahora yo me auto-evaluo y pienso, tengo estas dos medidas? La monitorización de procesos si, porque uso Sysmon, pero no tengo Applocker o similar. Para mi estudio, tengo un 50% de cobertura ante este TTP. 

Me voy a la matriz y pinto ese TTP con un naranja, por ejemplo, porque para mi rojo es que lo tengo todo mal, y verde todo bien.

Así con todos los TTP.. me permite tener ese mapa.

Aquí es donde entra el proyecto DeTTect que os quiero traer hoy. 

Un proyecto, un frontend que me genera capas de la Matriz Mitre en formato json pero con un GUI que permite elegir el grado de "cobertura" del ttp en base a Data Sources. Mucho más sencillo. Si yo tengo el Data source Monitor de Procesos sysmon a tope, la herramienta rellena las TTP correspondientes. 

Pongamos un ejemplo gráfico para ilustrar el asunto. Vamos a configurar nuestro nivel de cobertura, lo "bien" que lo hacemos, para la monitorización de procesos, por ejemplo, si usamos Sysmon o similar.


Podemos configurar de 1 a 5 distintos parámetros, por ejemplo, tenemos Sysmon instalado en todos los equipos? retenemos los datos lo suficiente, tienen un formato estándar que me permita correlar/comparar con otros data sources... aquí tienes la definición de las 5 métricas.

DimensionsDescriptionQuestions?Example
Device completenessIndicates if the required data is available for all devices.When doing a hunting investigation can we cover all devices/users that we need to?We are missing event data for endpoints running an older version of Windows.
Data field completenessIndicates to what degree the data has the required information/fields, and to what degree those fields contain data.Are all the required data fields in the event present and contain data to perform my investigation?We have proxy logs, but the events do not contain the "Host" header.
TimelinessIndicates when data is available, and how accurate the timestamps of the data are in relation to the actual time an event occurred.Is the data available right away when we need it?

Do the timestamps in the data represent the time the record was created or ingested?
We have a delay of 1-2 days to get the necessary data from all endpoints into the security data lake.

Timestamps are representing not the time an event occurred, but ingestion time in the security data lake.
ConsistencySays something about the standardisation of data field names and types.Can we correlate the events with other data sources?

Can we run queries across all data sources using standard naming conventions for specific fields?
Field names within this data source are not in line with that of other data sources.
RetentionIndicates how long the data is stored compared to the desired data retention period.For how long is the data available?

How long do you want to keep the data?
Data is stored for 30 days, but we ideally want to have it for 1 year.

ScoreDevice completenessData field completenessTimelinessConsistencyRetention
0 - NoneDo not know / not documented / not applicableDo not know / not documented / not applicableDo not know / not documented / not applicableDo not know / not documented / not applicableDo not know / not documented / not applicable
1 - PoorData source is available from 1-25% of the devices.Required fields are available from 1-25%.It takes a long time before the data is available.

The timestamps in the data deviate much from the actual time events occurred.
1-50% of the fields are standardised in name and type.Data retention is within 1-25% of the desired period.
2 - FairData source is available from 26-50% of the devices.Required fields are available from 26-50%.Data retention is within 26-50% of the desired period.
3 - GoodData source is available from 51-75% of the devices.Required fields are available from 51-75%.It takes a while before the data is available, but is acceptable.

The timestamps in the data have a small deviation with the actual time events occurred.
51-99% of the fields are standardised in name and type.Data retention is within 51-75% of the desired period.
4 - Very goodData source is available from 76-99% of the devices.Required fields are available from 76-99%.Data retention is within 76-99% of the desired period.
5 - ExcellentData source is available for 100% of the devices.Required fields are available for 100%.The data is available right away.

The timestamps in the data are 100% accurate.
100% of the fields are standardised in name and type.Data is stored for 100% of the desired retention period.



Como puedes ver, de una manera "amigable" puedo rellenar el estado de ese dataset. 

Ahora cargamos el fichero resultante en nuestra matriz de navegación Att@ck y podemos ver de una manera gráfica y visual el estado de cobertura.

Pero atención, podemos hacerlo a la inversa, podemos usar en vez de referencia el Data Source, podemos usar el TTP, es decir, podemos indicar puntualmente el grado de cobertura que tenemos para una técnica concreta. En este ejemplo, vamos a tomar la matriz de O365, para seleccionar un TTP.

Me parece brutal el esfuerzo por ayudarnos a mantener un mapa actualizado, o al menos para hacer una carga inicial, una auditoría, una valoración.

Ahora vamos con la pelea. La instalación es muy sencilla: Docker.

El funcionamiento es muy sencillo. Una vez dentro del contenedor, ejecutamos el editor, lo que nos levanta el servicio web:

root@020752e06d54:/opt/DeTTECT# python dettect.py editor

Editor started at port 8080

You can open the Editor on: http://localhost:8080/

Con esto creamos el YAML. Ahora tenemos que convertilo en Json para poder cargarlo como layer en nuestro Att@ck.:

python dettect.py ds ./input/data.yaml -l --health

Espero que te guste el proyecto y lo uses de buena fe :-)

Gracias por leerme !!!


miércoles, 12 de enero de 2022

Despliegue de entornos de laboratorio en Azure y otros sistemas para red team y blue team.

 Estimados amigos de Inseguros !!!

Una de las tendencias actuales en el mundo IT es el de "as a code". Infraestructura como código lleva siendo algo habitual desde hace unos años para con, otras prácticas DevOps, nos permiten crecer de manera automática y controlada nuestros escenarios.

Podemos llevarlo al desarrollo, usando Terraform, Ansible, Kubernetes, lo que sea, pero en esta ocasión vamos a hablar de algunos repositorios para Azure en formato ARM. 

Las plantillas de las que vamos a hablar están desarrolladas en Json, pero hay un nuevo lenguaje de uso más sencillo denominado Biceps, para poder usar las plantillas de Azure Resource Manager.


Lo hagas con el lenguaje o tecnología que mas te guste, la idea es muy sencilla, y para ti lector asiduo a los sistemas y/o seguridad, lo que queremos es desplegar máquinas para laboratorios. Si, es mi caso. No me dedico a instalar estos sistemas, pero si que ando instalando/rompiendo laboratorios cada dos por tres.

*En los entornos de operaciones suelen desplegar este tipo de soluciones mediante plantillas, para que con el paso del tiempo, se más fácil, homogeneo y barato hacerlo en distintos clientes. Mi nivel en ARM no es este, y lo uso como usuario para ahorrarme el trabajo solamente*

Instalar un Windows Server, el Directorio, añadir el equipo... llevo 20 años haciéndolo, me apetece un doble click...

Es aquí donde entran en juego las plantillas ARM. No es mi propósito explicart. como funciona. Mi propósito de este post es indicarte algunos repositorios de plantillas que me parecen útiles, por ejemplo...

Microsoft Sentinel To-go, del genio Roberto Rodriguez principalmente. En este repositorio tenemos plantillas relacionadas con Microsoft Sentinel.


Un click, unas cuantas preguntas y tenemos estor entornos desplegados. BRUTAL !!!

BlackSmith, entre otros, el mismo genio anterior. En este caso tenemos plantillas para desplegar entornos similares sin Sentinel, con bases de datos, etc.


Si eres fan o asiduo a Mitre, conocerás el documento APT29/The Dukes. En este documento, o más bien proyecto,  tenemos la documentación detallada del tipo de ataque, o mejor dicho de la campaña completa de ataques, pero con los detalles técnicos a bajo nivel. Tan a bajo nivel que tenemos las configuración de simulación de adversarios disponible para cargar en Caldera...alucina vecina...

Pero para poder ejecutar este proyecto, al final necesitas la infraestructura sobre la que se van a correr las simulaciones... 

Aquí es donde tenemos otra vez al genio con la plantilla para desplegarla...SimuLand. Pero si no fuera suficiente, el hombre nos pasa 3 artículos en donde nos dice como "casarlo todo" y ejecutar el proyecto de manra global. Artículos uno, dos y tres

Otro proyecto que me gusta mucho por su vinculación con MITRE es https://github.com/BlueTeamLabs/sentinel-attack . En el que podemos desplegar varias opciones interesantes sobre nuestro Sentinel, como son:

Por supuesto que la propia Microsoft nos ofrece en sus repos. plantillas de inicio sencillas, en concreto estas de las demo me parece útiles para empezar, para instalar extensiones en máquinas, cositas interesantes. 

Otra cuestión más allá de crear la infraestructura, es hacerla vulnrerable. En este blog hemos hablado largo y tendido por ejemplo con Adaz,  donde ademas teníamos máquinas blue team como ELK, o por ejemplo hacerlo con ARM y DSC en este artículo. El proyecto original es DefendTheFlag de la firma de Redmon. Detections Lab es otro clasico para desplegar entornos Vulnerables y de Blue Team.

Si lo que quieres es solo las vulnerabilidad, segurmente Vulnerable-AD es el más conocido. Game Of Active Directory no he tenido ocasión de probarlo pero creo que aporta pocos más ataques, vulnerabilidades.

Otro interesante, esta vez para la herramienta BloodHound es BadBlood. Nos permite "nutrir" nuestro entorno de eso tan preciado que buscamos con la teoría de visualización de la herramienta.

Al final es cuestión de buscar más o menos lo que necesitas, y buscando más o menos es fácil cambiar las opciones para adaptarlo al máximo a tu entorno deseado y a las ganas que tengas de invertir tiempo en esto. 

Lo que es innegable es que hace unos años meteríamos varias veces un disco de 3,5" en varios equipos. Luego usamos unas Iso en fichero... unas máquinas virtuales... unos entornos cloud y ahora ya esto. La sencillez es abrumadora. 

Espero que te haya parecido interesante este artículo y que te animes a comentarme más recursos útiles.

Gracias por leerme !!!




miércoles, 5 de enero de 2022

Zero Trust o confianza Cero: un nuevo reality de infieles?

 Estimados amigos de Inseguros!!!

Si para los de mi edad Gran hermano fué un experimento un tanto deprorable, lo de las casas/islas/campamentos de jóvenes que van a hacerse famosos y pasar un buen rato... ya ni te digo.

Veo el eslogan: Confianza Ciega: 10 chicos y 10 chicas se van de camping desnudos a ver quien se "jinca" a quien... Lloros, tias operadas, tios enseñando pechos... seguramente hace unos años hubiera ganado con la idea. *me informan que existe este programa xDDDDDD*


Pero no !!! en Inseguros no enseñamos los pechos !!! a pesar de contar con el físico :-) vamos a seguir en nuestra línea.

Si el ramsomware es la amaneza de moda, en el mundo "defensivo" tenemos que irnos al Zero Trust. Seguro que lo has escuchado. Mas que una solución, es una manera de pensar, y vamos pensar un poquito sobre esto alineados un poco a servicios Microsoft, aunque realmente el concepto es extrapolable a practicamente cualquier vendor o ecosistema de soluciones. 


Por ejemplo Google lo denomina Beyond Corp


Este concepto que promete ser la nueva ola de cambios no es nuevo. Allá por el 2014 Google publico este paper, en el que hablaba precisamente del concepto Zero Trust, es decir, no hay servers en un entonro confiable detrás de un perimetro, sino que hay que considerar que todas las redes son no confiables y actuar desde este punto de vista. Esto es basicamente mi definción para el Zero Trust.

Podemos irnos al NIST a su documento, o directamente a la wikipedia, que ya hace menciones de este tipo de iniciativas desde los inicios de Internet...

Lo que quiero transmitir es que este concepto no lo ha inventado X, ni Y ni Z, es algo que se ha ido cociendo conforme ha ido creciendo la exposición a internet y las consecuentes amenazas.

Para seguir desarrollando el concepto, vamos a seguir los ámbitos de actuación que Microsoft promueve. No se trata de una guía cerrada en la que en cada fase hay X productos. Precisamente lo contrario, están todas las fases conectadas mediante servicios y productos, pero por hacerlo un poco organizado lo presentamos así.

  • Identidad.

    Yo soy Jmolina@miempresa.com porque conozco ese correo, o porque conoczco ese usuario y la contraseña que tiene? Todos sabemos que las contraseñas tienes debilidades, por lo que alguien que no sea yo, puede usar ese login. 

    Y si metemos un segundo factor de autenticación? ( algo que tienes, algo que eres, algo que sabes). Hay más posibilidades de que "yo" sea "yo".  Ese MFA lo uso para el correo, para la VPN, o para todo? porque ya que lo uso, tendré que usarlo en distintos entornos... pero quizás esto venga luego. 

    Tus colaboradores, tus empresas mantenedoras, usan un usuario genérico tipo partner@miempresa.com o tienen uno nominativo con las mismas medidas de seguridad que el personal interno? Cuando accedemos a los recursos, en el móvil tenemos la misma seguridad.

    Cuando hacemos el login en una wifi no confiable en un pc de un amigo, tenemos alguna restricción? La identidad ya no es solo el usuario y contraseña como puedes ver... es la suma de muchas verificaciones.

    Cuando das acceso a un partner, usas un modelo de aprobación, en el que le das permisos solo unas horas? Podrías detectar el "impossible travel" ? es decir, que un usuario hace login en una ciudad, y en un espacio de tiempo menor a lo que le costaría el viaje, lo hace desde otra...o que de repente un usuario hace login en un pais considerado "poco confiable" porque no hay delegaciones allí...

  • Puntos de conexión.

    Hemos dicho móviles, pc´s de conocidos... Al final, el entorno Cloud nos permite esa movilidad y esa independencia del dispositivo, pero no tiene sentido que administres el Directorio Activo desde un Tablet público en una Office Room de un hotel. Quizás para descargar un documento o acceder a una aplicación si, pero para temas "serios" no tiene mucho sentido que, aunque seas el usuario rey todo poderoso, expongas ese riesgo. 

    Es recomendable tener dispositivos enrolados de empresa, pc´s, móviles, cacharros, y asociar a ellos un nivel de "exposición". Un usuario desde una shell usarndo Curl, por muy usuario potente que sea, no debería poder hacer ciertas cosas... me pillais por donde voy?
  • Aparte de esto, los que venías del NAC, Intunes, etc. podemos tener equipos que por cualquier condición, por ejemplo porque no se han actualizado, ya no sean igual de confiables que uno que si está actualizado. O porque no lleva las últims firmas del AV... El equipo debe cumplir con las políticas de seguridad definidas. No vale con "ser " de empresa, debe "estar" compliance..

    En esos dispositivos, puedes controlar una perdida? están cifrados los discos? podrías borrarlos remotamente?

    Por supuesto que en los clientes "Windows" tienes antivirus, pero en lo móviles Android? Ios? Las amenazas en los equipos no son solo virus... visitar una web maliciosa puede comprometer el equipo mediante un exploit, o un robo de credenciales, y eso no es un virus... Hablamos de detección de amenazas...


  • Aplicaciones.

    Basado en lo anterior, pensamos en el login de un equipo, o en la conexión a una VPN, pero y las aplicaciones? Está el ERP preparado para trabajar y otorgar privilegios según las premisas antes comentadas? Por ejemplo, que puedas entrar en modo lectura a ver tu nómina desde tus vacaciones en el Caribe, pero no puedas modificar el número de cuenta de tu nómina desde ese pc raro...

    Tienes esas aplicaciones auditadas? no me refiero al Owasp... eso ya lo se :-) me refiero a que si sabes las que tienes. No hay que irse muy lejos para el caos con el Log4j, y el mayor problema hemos visto que ha sido identificar las aplicaciones que lo usaban... el inventario es el principio de la seguridad !!!


  • Infraestructura.

    Tienes cloud? tienes multicloud? controlas qué está pasando tanto en Aws como en Azure.


  • Tienes procesos de integración, por ejemplo ETL de transformación? webservices que "chupan" y "dejan"... todas estos procesos, todas estas aplicaciones, deben tener una identidad. Recuerdas el mundo On premise donde teníamos un SqlServer corriendo con el usuario administrador del dominio porque así no falla? pues NO. Cada microservicio tiene que tener una identidad, para dotarle luego de las políticas de acceso concretas.

    Por ejemplo, ese proceso ETL que lee de un aparato IoT y que vuelca en un Pentaho... está limitado a nivel firewall punto a punto, puerto a puerto? En el mejor de los casos "antiguos" tendríamos una red aislada, una vlan, una dmz... mejor punto a punto.

    En esa conexión punto a punto, imagina un equipo industrial con Windows CE... tienes un firewall entre el equipo y el servidor para controlar las amenazas?

    Al igual que los datos de los "aparatos" importantes, tenemos que tener visibilidad de todos los eventos de ciberseguridad, y tenerlo en un SIEM. En este SIEM no nos centramos con firewall y antivirus verdad? si el 90% de las amenazas nos vienen por el correo, será interesante tener los logs del correo centralizados no? no me refiero entrar al Security Center de la solución, me refiero a un SIEM y todo lo demás. Por ejemplo, el comportamiento, la respuesta automática, la orquestación, el machile learning para mejorar la detección, el uso de Threat Intelligence... esas cosas que sabes que tanto nos gustan del mundo SOC. 


  • Datos.

    Como todo el mundo sabe, el dato es el activo del "futuro", del presente. Tener información nos da poder. Clasificar los datos según su criticidad es básico. Lo decían ya los consultores de la LOPD... que si medio, bajo o alto... pero pasamos la auditoria y nunca más hicimos nada. 

    Tiene que saber mi programador la clave de administrador de la base de datos en producción? Tiene que saber mi administrador la clave de administrador de todo el dominio. 

    La persona que hace los pagos, incluso las nóminas, tiene que saber el motivo de mi reducción de IRPF por mi 66% de incapacidad, o solo saber que tiene que hacerlo?

    Al final tenemos muchos datos, de distinta índole, y su protección primero pasa por su identificación y clasificación. 

    Una vez sabemos que los datos son lo que son, empezamos con las medidas. Por ejemplo, un documento Word de oferta puede que cuando llegue al cliente no deba ser de escritura... o que incluso se borre pasado un tiempo. Que no se puedan acceder a ciertos datos desde ciertas condiciones... imagina todas las casuísticas que puedes reflejar aquí, y casi todas tendrán su vertiente tecnológica para cumplir.

    La protección puede ser todo lo profunda que queramos, pero seguro que tenemos que ser capaces de controlar los USB... fíjese usted que novedad... o un pequeño control DLP con exfiltración, basada en algunos patrones fáciles de texto... Toda esta línea de trabajo es fundamental. 

    Imagina un hospital privado, con su software de gestión ( HIS). Imagina el ingreso de un famoso en el centro. Crees que el lógico que el administrativo de la puerta de ingresos conozca el resultado del informe toxicológico? o que tenga acceso al teléfono? tenemos que filtrar mucho estos datos, incluso a nivel base de datos a nivel de campo, de tupla. Cifrando por supuesto los datos en tránsito, pero tambien en custodia. Lo que viene siendo el ejemplo de tener las passwords en base de datos en algún formato hasheado seguro....

  • Red.

    El elemento base de todo sistema. Seguro que tienes un Firewall de última generación con las opciones de seguridad. Pero tienes un WAF para tus servicios WEB? La gente que tiene webs residuales que no gestionan ellos, seguramente no les importa que un día entre un cliente y llame a "casa" diciendo que hay una foto de "noseque" en la web... o el gerente... o que salga en un leak de internet todos los usuarios y claves de tu web... La web es importante y es responsabilidad nuestra, la lleva Marketing, Ventas, o esté alojado en "casa Pepe".

    Intentar usar IPSEC internamente es complejo ya que hay muchos sistemas que no lo permiten, pero entre los sistemas que si, por qué no? Igual pasa con las versiones SMB inseguras.
Si seguiste el úlitmo post sobre las medidas anti-ransomware, conicidiras conmigo, y con otros muchos lectores que me lo han comentado que si, que bien, que perfecto, pero ahora como se hace "eso".

Al final son una seria de medidas, de ideas, de conceptos que te lanzo para que reflexiones, y pienses cuales de ellos serían interesantes en tu organización. Y que hagas un análisis funcional y de requisitos de lo que tu negocio y tecnología necesita. Con esto podrás crear un plan en corto y medio de los siguientes pasos.



Te pongo un ejemplo. Si usas redes Microsoft creo que tiene sentido usar la nube Azure y la colaboración con M365. Si usas estos productos, tiene sentido que cuando hablemos de gestión de identidades uses el propio Azure Active Directory y que para los equipos on-premise usas el MFA de Windows Hello por ejemplo. 

Pero esto es una opinión, una evolución para mi orientada a seguir confiando en Microsoft. Pero puedes instalar un MFA de la marca Fortinet para tu VPN perimetral. y puedes cifrar tus portátiles con Sophos, puedes usar un CASB para acceder a tus recursos en Gsuite... 

Cada entorno tiene sus soluciones. El handycap que encuentro con el modelo Zero Trust de Microsoft es que como es normal, va todo orientado a un entorno Cloud o Híbrido del fabricante, y en muchas organizaciones nos encontramos con escenarios mucho mas hetereogeneos, o lo contrario, que aún no han dado los pasos iniciales hacia el cloud. Estas empresas quizás no puedan seguir al pie de la letra todas las recomendaciones del Vendor, o si. 

Yo abogo por conocer los conceptos, y luego buscar las soluciones. Si la gestión de identidades la quieres hacer con otro Vendor, perfecto, evalua las capacidades presentes y futuras que te da, y decide. Pero que tienes que gestionar las identidades, es algo inevitable. Así con todo.

Si estás animado a seguir con estas reflexiones y quieres profundizar sobre los productos o servicios que tenemos a nuestra disposición, se me ocurre esta lista:


Como he dicho, esta lista sería una guía, no se trata de comprarlo todo, o que sin esto no puedas empezar. Simplemente que hay que tener clara la postura Zero Trust y tomar decisiones alineadas con el futuro. No mirar en una solución aislada que nos pueda mermar el crecimiento por incompatibilidades entre sistemas.

Espero que hayas comprendido el concepto de Zero Trust con algunos ejemplos o reflexiones, y ahora toca la parte más dura, elegir con qué tecnología hacerlo, pagarlo, y ponerlo en marcha :-)

Como siempre, cuenta con tu partner de referencia en estos aspectos para que te orqueste la situación. Es el mejor consejo que te puedo dar.

Gracias por leerme.