Si usas Veeam y tienes 50€, Direct Restore to Azure te monta tu Data Site Recovery GRATIS !!!

Estimados amigos de Inseguros !!!

No es el primer artículo que presento en el blog sobre Azure. Hace poco escribí uno sobre la seguridad y sobre todo como alegato a mi posición sobre este tema, Azure es mucho más que un hosting o un servidor privado, y es barato !!!.

En esta ocasión os voy a presentar una pequeña guía, consejo, truco o como quieras verlo sobre montar un DSR (Data Site Recovery). Lo primero que vamos a hacer es darle forma a este concepto.

Normalmente me encuentro empresas con virtualización de servidores consolidada. Las pymes que manejo suelen tener el binomio Vmware-Ibm con su licencia para 3 hosts, blade y cabina de discos nas/san.
Otra corriente que manejo es sistemas Hyper-V SIN System Center con NAS económicas, ¿quien lo iba a decir? la solución Microsoft la más económica. Por último, si, voy a mencionar a mis amigos de Xen... bueno no !!! XD.

La mayoría de ellas cuentan con una solución de copias de seguridad de datos y de máquinas virtuales. Bien, volvemos a lo de siempre, que pasa si se le pega fuego al CPD? Tenemos unas copias de seguridad externas? Bien. Vete un sábado, en el mejor de los casos, con el cpd aún caliente por el fuego, compra un par de máquinas y monta como puedas la infraestructura mínima para funcionar, con tu juego de copias de seguridad... Te ha dado así un poco de escalofrío? si no lo ha hecho es porque estas de viernes :-)

La solución es fácil, compra un par de host, una cabina, unos switches de core, firewall para vlans,laralaaaaaaaaaa y lo pones lejos de tu sede, un local alquilado o prestado, laralaaaaaaaaaaa, y lo conectas por una fibra, laralaaaaaaaaa bling bling $$$ $$$

Ahora llego y yo te "descubro" la nube, en este caso Azure...mira que listo  !!! cuanto me cuesta tener mis 256 gb de ram de proceso que tengo ahora mismo y mis tropecientos cores? Pues la verdad, te puede costar lo mismo que un ROI de inversión inicial de hardware que hiciste hace un tiempo, quizás ajustándolo al "mercado" de renovar cada 3 años. En el caso real de las empresas, y vendedores no me digáis que no, es que el ROI de una inversión de infraestructura de virtualizacíón no es a 3 ni a 5 años...

La gracia está en hacerlo gratis. Vamos a ello.

Tu tienes tu Veeam backup funcionando en tu sede. Te registrar en Azure, ya de primeras tienes 170€ en la cuenta para ti, GRATIS. Bien. Nos descargamos un appliance configurado de Veeam que se denomina Direct Restore to Azure. A los 5 minutos tendrás una máquina 2012 con una instalación de Veeam a tu disposición. El primer paso es configurar la instalación y añadir tu fichero de configuración de Azure dentro de la máquina.

En este punto, ya podéis subir máquinas a la nube y restaurarlas. ¿Como podemos subirlas?

Podemos tener varias estrategias, por ejemplo, una unidad Smb de Azure conectada tanto a este Server en Azure, como a tu Server Veeam local. Un FTP. Lo suyo es usar la herramienta FASTSCP como comenta este señor en su artículo. Todo detallado. Podemos subir una copia, o hacer una programación.

Prueba a subir dos o tres máquinas a tu nube Azure gratuita con los 170€ de crédito... Ahora la gracia es la siguiente, RESTAURA alguno de los backups dentro de tu Azure.

No te preocupas de que tu hypervisor era Vmware y ahora es "Azure", Veeam te lo da todo hecho.

Bueno...las cosas gratis ya sabes lo que tienen. Ahora toca pensar !!! Yo soy de los de usar un papel en A3 o dos... en folios normales ya no cabe todo esto y empezar a analizar servidor por servidor. 

Es posible que tengas que optimizar copias de servidores porque en teoría, una cosa son los servicios y otra cosa son los datos, y tener máquinas virtuales de muchos gigas no tiene sentido, y como comprenderás, subir una copia de seguridad de 10 máquinas de 80 gb se come la conexión.

Creo que habría que recrear tu infraestructura BASICA de funcionamiento en Azure, redes, controladores de dominios y todo, pero la gracia de este sistema es que ESTAN APAGADAS, no consumen recursos, bueno si, un mínimo, pero ese mínimo es anecdótico.

Este pequeño servicio también te puede servir para ir migrando poco a poco sistemas a la nube si necesidad de convertir discos Vmware a Hyper-V y cosas así.

Es cierto que vas a tener coste, por ejemplo, la máquina Veeam al final te va a costar unos 40€/mes. Si le pones un SMB con unos TB para guardar las copias, pues te va a costar otros tantos. El mantenimiento mínimo de tener tu replica OffSite-Offline te puedo esta costando unos 100€ mes, algo que te invita a probarlo al menos, y olvidarnos del "susto" de que te va a costar miles de euros al mes y te jefe te va a cambiar por un mono entrenado xD.

Espero que te guste la idea.

Hay otra opción reciente, que es actualizar tu Veeam a 9.5 y aprovecharte nativamente de la copia de seguridad en Azure, con el mismo planteamiento, pero sin tener que escoger una estructura paralela de subida de máquinas. Recuerda que con este método lo hacemos con una herramienta gratuita FASTSCP. No tengo muy claro este asunto, me explico. Si usas el "mismo Veeam" que usas ahora para tus copias para subir a Azure, se me hace más difícil controlar el QOS del ancho de banda.

Si yo instalo el "programa que sube las máquinas a Azure" en un equipo identificado, puedo configurar más o menos caudal dedicado para la subida, sin embargo, si usamos el Veeam actual, podemos influir en el rendimiento de la red.

¿Te animas a probarlo?

Gracias por leerme !!!

MozDef. Un framework de recolección, visualización y gestión de incidentes todo en uno. Woooow

Estimados amigos de Inseguros!!!

Hemos visto varias herramientas de gestión de eventos de la información en este blog. Tenemos herramientas que generan logs. Tenemos herramientas que interpretan, gestionan alertas, exportan datos. Tenemos herramientas que importan eventos (Malcom) y nos permiten realizar informes para completar una respuesta a incidentes, mi favorito MIPS.

En esta ocasión os presentamos la herramienta The Mozilla Defense Plataform. El proposito del proyecto como ellos dicen:

Provide a platform for use by defenders to rapidly discover and respond to security incidents.

Automate interfaces to other systems like MIG, flowspec, load balancers, etc

Provide metrics for security events and incidents

Facilitate real-time collaboration amongst incident handlers

Facilitate repeatable, predictable processes for incident handling

Go beyond traditional SIEM systems in automating incident handling, information sharing, workflow, metrics and response automation 

Todo el sistema se articula por un conjunto de json de distintas fuentes y sus respectivas funciones de colas, alertas, procesamiento etc.

El funcionamiento por parte del usuario es muy sencillo. Tenemos eventos, los podemos categorizar como investigaciones o incidentes, con todos sus campos para formalizar la información.

Tenemos varios dashboard en formato Kibanna también para configurar a nuestro gusto.

Si ponchamos sobre una ip nos habilita la posibilidad de realizar ciertas consultas, incluso con un servidor CIF !!!! ( has venido a alguna de mis charlas sobre CIF?). Esta parte no aparece en el código fuente, aunque veo ficheros de configuración para estos plugins y no son muy sencillos. No se por qué lo ponen como opción y no meten el plugin...

En este ejemplo, podemos blockearlo a nivel de enviarlo a Threat Intelligence de facebook o los sinkhole que maneja Mozilla.

El formato modular proporciona todo tipo de posibilidades para integrar eventos de distintas fuentes, como puede ser Suricata

Mira que vista mas chula de los atacantes que detecta:

Sin duda, un framework muy interesante para trastear y configurar con nuestros sistemas de inteligencia. Yo creo que si ya tenemos todos los plugins para nuestros siems/threat intelligence, pegarle una salida json y ver como se visualizan aquí estará bonito.

Espero que os haya gustado el artículo.

Gracias por leerme !!!

Infection Monkey: Suelta el mono y a ver hasta donde infecta. Sencillo

Estimados amigos de Inseguros!!!

Hoy os traigo una maravillosa herramienta para jugar con nuestras infraestructuras, y por qué no?, incorporarlo en nuestros procesos de auditoria interna o pentesting... La herramienta se llama Infection Monkey y el concepto es sencillo: Suelta un "virus" controlado, el mono, en una isla, déjalo que escanee la red y a ver hasta donde llega con clásicos exploits y "misconfigurations" o malas configuraciones. Te gusta?.

El funcionamiento es muy sencillo. Basta con descargar el binario (Debian funciona bien) solventar sobre la marcha alguna dependencia de Pyhton y poco más. Ejecutas la aplicación.

Ahora despliego un Monkey por la red para ver hasta donde llega con sus "maldades".

Se le pueden añadir algunas configuraciones por fichero o por la opción de json del menú gráfico, como la ip del C&C, el usuario del dominio, el nombre, la lista de password que va a atacar.

Como es normal, en un entorno minimamente securizado y aislado no debe encontrar nada, pero nos puede servir para ver alguna mala configuración vigente o vaya usted a saber,

Espero que os sirva de ayuda y que el proyecto crezca con nuevos módulos y exploits, y sobre todo GPLv3 xD

Gracias por leerme !!!

Controla tu Keepass desde Powershell. PSKeePass

Estimados amigos de Inseguros !!!

Desde el comienzo de Internet hemos lidiado con el problema del usuario y la contraseña. Creo que poco más se puede aportar al respecto. Todos los días lidiamos con esta gestión.

Al parecer, una de las alternativas más empleadas es el usar un repositorio "seguro" de contraseñas, y usar contraseñas tan complejas para el atacante como para el usuario, lo que requiere de usar estos gestores de contraseñas como apoyo en nuestra administración diaria. Yo soy uno de esos.

A todos mis amigos y clientes les recomiendo KeePass. Una aplicación gratuita que te permite organizar tus contraseñas, para uso personal o para toda una empresa. La dinámica es muy sencilla, dejamos al gestor que cree una contraseña de 20 caracteres con dígitos, caracteres y todo tipo de premisas de seguridad, que NUNCA te acordarás, y que deberás hacer copy/paste para usarla. Aunque aún los hay reticentes, la mayoría emplean este técnica, ya sabes, un poco decrece la funcionalidad pero aumenta mucho la seguridad.

Bien, después de todo este rollo que ya sabías, viene la gracia. Podemos usar una API que nos proporcionan los desarrollodores, y una fantástica librería de funciones en powershell del señor JKDBA y su proyecto PSKeePass.

Es tannn fácil. Importas el módulo desde la Powershell Gallery. Creas una conexión al fichero, proporcionandole una key, que puede estar en USB, en un directorio protegido o cualquier que sea tu técnica de autenticación contra keepass, incluida la clave, o la integración con Active Directory.

Una vez que tienes la conexión abierta, le pides datos o los introduces. Ejemplo oficial

Aquí algún ejemplo.

Ahora cuando hagas un deploy de una máquina virtual, puedes usar tu librería para que tu KeePass genere una contraseña fuerte, la uses en powershell, y te olvides documentar el añadido. Por supuesto también lo podemos hacer al revés, leer el dato de contraseña de un campo almacenado en KeePass, MUY interesante, tenemos un "ldap" de andar por casa xD.

Las posibilidades que se me ocurren sin infinitas. Según tengas configurados registros en KeePass, podrías hacer un script para conectarse a tus sistemas favoritos: Wordpress, ERP, Mail y lo que te permita administración remota por comando o POST/REST... y unificar el proceso de cambio de contraseña con el proceso de registro, y todo con datos automáticos.

Puedes sincronizar tu base de datos Mysql con registros en KeePass y almacenar al menos el hash, porque usas el hash verdad? resetear el password desde KeePass y que se sincronice en ...

Gran trabajo de este desarrollador. Por supuesto, las medidas de seguridad para fortificar el fichero key deben ser extremadamente concienzudas, igual que cuando confiamos en la seguridad por contraseña, esta debe ser muy segura. Estamos poniendo toda la seguridad de nuestras cuentas bajo un mecanismo de seguridad ( lo mejor es usar una key en usb + clave o ActiveDirectory)

Espero que os sirva de ayuda, gracias por leerme !!!

PD: Existe más integraciones de este tipo, en concreto para los amantes de Perl y linux he visto este proyecto: http://kpcli.sourceforge.net/ Muy interesante también, pero para la orquestación de mis sistemas me gusta PowerShell.

Burp Proxy Free Vs Zap proxy. Intruder.

Estimados amigos de Inseguros !!!

Durante un proceso de auditoria encontré un escenario típico de un directorio con documentos, en esta caso facturas de clientes, con la nomenclatura www.sitio.com/cosas/facturas/factura123456.pdf.  Buscando a mano encontré algunas y pasé a documentar el hallazgo en el informe.

En estos casos se recomienda, si por lógica de negocio es un requisito ofrecer las facturas de esta manera, crear un proceso de borrado periódico al menos, y minimizar el impacto que podría sufrir una empresa a la que descubran el recurso. Siiiiiiiiii, hay miles formas de hacerlo mejor, pero recordar que las necesidades del negocio a veces, casi siempre, suelen ser MUY distintas a las que a nosotros, como auditores de seguridad o administradores de sistema nos gustaría.

Para hacer más formal el documento, utilizo la opción de INTRUDER de Burp para hacer un brute force al nombre del fichero, con el fin de encontrar todas las facturas. Es decir:

www.sitio.com/cosas/facturas/factura111111.pdf
www.sitio.com/cosas/facturas/factura111112.pdf
www.sitio.com/cosas/facturas/factura111113.pdf
www.sitio.com/cosas/facturas/factura111114.pdf
www.sitio.com/cosas/facturas/factura111115.pdf
www.sitio.com/cosas/facturas/factura111116.pdf

De esta manera, tras 999.999 de intentos, podría haber recorrido todos los documentos que hubieran cumplido la expresión. Como consecuencia del ataque, añado al informe que el sistema no detecta los ataques de este tipo, ni ninguna otra medida de QOS para controlar Fuzzing, Brute force o un simple DOS por IP.

Mediante Burp es muy sencillo, capturo la petición, botón derecho, envío al intruder, selecciono el dato que quiero usar como variable, selecciono el Payload Brute force y le indico que el rango son números, y que la longitud es 4, 5, 6 lo que quiera.

Como puedes ver en la última captura, el control de hilos y tiempos está restringido a la versión de pago de Burp, que aún no pago. Hago una prueba pero que vaaaaaa, hace unas 3/4 peticiones por segundo. Algo impensable para un nervioso como yo :-)

Retomo el asunto instalando Zap Proxy , la herramienta de proxy por excelencia de Owasp, y de software libre. El funcionamiento que he probado es muy similar al de Burp.

Añado la url original con la petición del documento, lo paso a Fuzz, identifico la variable, pero en este caso, en vez de añadir BRUTE FORCE, añado como payload una regexpressión, que es simplemente decirle "numeros y tamaño". Al no tener la limitación de la versión gratuita de Burp, el análisis se ejecuta a todo trapo, pudiendo elegir el número de hilos y tiempos según nuestro equipo y capacidad de conexión.

Para este sencillo escenario me ha venido muy bien en ahorrarme las pesetillasde Burp, aunque imagino que al final lo compraré, no es caro, y ya estoy algo acostumbrado.

Para la salida o resultado, en este caso, me basta con ordenar la columna por el código http 200, ya que el resto es un 404 muy claro. En burp puedo usar las opciones de Grep para filtrar por una salida concreta, como en el caso de un brute force http y un login ok o cualquier mensaje revelador. Con Zap no me he puesto mucho, todo es según necesidades, recuerda, soy de Murcia, me gusta el sol y la calle !! :-)