Trabajo

Tillmann & Felix de Giraffe Honeynet Chapter nos envian una animación de como se veria el Conficker.C y sus relaciones funcionales. Las esferas amarillas son funciones en el interior del Conficker, los loops verdes son funciones importados de Dlls y lo rojo son saltos en otras funciones.

HP blog
www1

Como sabrán en menos de 48 hs se activará una nueva variante del Conficker. Recién salido del horno, Tillman y Felix del Giraffe Honeynet Chapter publican una herramienta para detectar hosts infectados con el Conficker [1], cabe señalar que este scanner sera integrado en varios scanner famosos como el nmap ó Nessus. También nos envian firmas para el Snort basadas en el shellcode del virus.

y

Mas información en:

https://www.honeynet.org/node/388
https://www.honeynet.org/node/389
http://www.doxpara.com/?p=1285
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Chapter XVIII: Introduction, Classification and Implementation of Honeypots

This chapter discusses the basic aspects of Honeypots, how they are implemented in modern computer networks, as well as their practical uses and implementation in educational environments. This chapter covers the most important points regarding the characteristics of Honeypots and Honeynets. The implementation of Honeypots provides an answer to a common question posted by the field of information security and forensics: How to dissect the elements that make up an attack against a computer system. The chapter summarizes the different features and capabilities of Honeypots once they are set up in a production environment.

Pueden hacer el pedido directamente en IGI-Global con un descuento de Pre-Publicación o directamente en Amazon sin descuento

Oops, ya tenia un poco olvidado mi blog mucho trabajo e infinidad de cosas por hacer me quemaban el chip y no le daba bola al blog... pero de nuevo acá estoy.

Estuve 3 semanas en México pasando las fiestas con mi familia y amigos, ya me hacian falta unas vacaciones... las disfrute muchisimo, aunque creo que me faltaron mas días; en esas 3 semanas no pude recuperar los meses que estuve viviendo fuera de mi ciudad. Ya acercandose la hora de regresar empece la busqueda de vuelos, con la idea presente en que no lo encontraria a menos de $1,000 usd por la temporada y por los costos que en los últimos meses hemos visto todos... por suerte encontre un vuelo en aprox $600 usd (un solo viaje), el único detalle es que la conexión del vuelo sería en Nueva York... no me importo y lo compre, fué lo mas barato que encontre. Y bueno.. fueran muchas horas de viaje hasta Buenos Aires pero llegue! (gracias a la Tía Meche por su hospitalidad en la Gran Manzana)

De regreso al laburo, chequeando pendientes... cambiandome de apartamento, en fin... los últimos dias han estado un poquitín pesado, pero ahi la llevo... ya se va poniendo todo a la normalidad.

Ayer me avisaron que mi artículo para un libro sponsoreado por la Academia de la Fuerza Aerea de USA será publicado en Abril 2009, ahora esta en la fase de pre-prensa. Esto me pone muy feliz ya que será mi primera publicaciñon formal que tengo. El libro se llamará "Cyber Security and Global Information Assurance: Threat Analysis and Response Solutions", el brochure pueden verlo ACÁ y el sitio del libro http://tinyurl.com/baemfs. Mi capítulo hablo sobre Honeypots y Honeynets.

Una empresa finlandesa llamada Outpost 24 dice haber descubierto un fallo en el Internet Protocol (IP) que puede provocar una denegación de servicio en todo dispositivo que lo use. Teniendo en cuenta que es la base sobre la que se sustenta toda Internet, es equivalente a decir que se puede provocar la caída de cualquier aparato con comunicación en la Red. Es la tercera "gran alerta" del año. ¿Necesita Internet una puesta a punto?

En realidad ni siquiera se podría llamar "denegación de servicio" tal y como lo conocemos hoy en día. Más bien se trataría de una especie de (mítico) "ping de la muerte" en el que, con muy poco tráfico (10 paquetes por segundo) se podría llegar a colapsar cualquier dispositivo que implemente la especificación del protocolo base. Al parecer se trataría de uno de los mayores problemas detectados en la Red que la volvería insostenible de forma relativamente sencilla.

No se han ofrecido por tanto muchos más detalles. Parece que el problema surgió durante el escaneo de varios millones de sitios en Internet. Alguno de estos tests (realizados con la herramienta Unicornscan) hacía que los sistemas dejaran de responder, y tras una investigación se concluyó que existía un problema en todas las implementaciones de la pila TCP/IP. Aunque afecta de distinta manera, se supone que todas son vulnerables y que todavía no han encontrado ningún dispositivo que no puedan bloquear.

Los investigadores han conocido este problema desde 2005. Según dicen, no han podido encontrar por el momento una solución válida, pero tampoco quieren difundir los detalles por el peligro que supondría el conocimiento público. Advierten que, incluso con IPv6 el problema podría ser incluso más grave.

Darán más detalles sobre el problema el 17 de octubre, durante una conferencia en Helsinki. Afirman tener una herramienta llamada sockstress capaz de "tumbar" cualquier dispositivo. Aunque la información es confusa (y habría que tomarla con cautela mientras no se tengan detalles), parece que el problema está directamente relacionado con la técnica de las "SYN cookies". Se utilizan precisamente para evitar que un atacante pueda realizar una inundación de paquetes SYN. Básicamente se "recuerda" con esta cookie a quien ha realizado la conexión y se evita que se falsee la dirección y se perpetre el conocido ataque (abriendo conexiones a medio realizar que consumen memoria y agotando los recursos del dispositivo).

Es la tercera gran vulnerabilidad del año que pone en peligro a toda la Red. En primer lugar fue Kaminsky con su problema DNS. El 8 de julio todos los grandes y pequeños fabricantes parcheaban sus sistemas DNS. Kaminsky había descubierto meses antes un fallo que permitía falsificar cualquier IP asociada a un dominio. Poco después en agosto, durante la Black Hat, se habla de nuevo de la mayor vulnerabilidad de Internet, cuando Tony Kapela y Alex Pilosov demostraron una nueva técnica que permite interceptar el tráfico de Internet a una escala global. Cualquiera con un router BGP podría interceptar el tráfico de cualquier gran nodo y devolverlo (modificado o no) de forma transparente.

Y vuelve a ocurrir, repitiendo prácticamente el mismo escenario. En los tres casos se trata de un problema de diseño de un protocolo creado muchos años antes. En los tres casos parece haber una demostración empírica de un problema conocido pero cuyas posibilidades o puesta en práctica se suponía imposible hasta la fecha... Incluso el hecho de revelar detalles en una conferencia posterior con la que se crea una gran expectación. Como le ocurrió a Kamisky, es posible que todos los detalles del problema salgan a la luz antes de lo esperado si algún investigador decide juntar todas las pistas ofrecidas por Outpost 24. Es más que posible que aunque los detalles fueran conocidos desde hace 3 años, haya sido precisamente lo ocurrido con el fallo DNS y con BGP lo que haya animado a los investigadores a darle publicidad precisamente ahora. Kaminsky demostró que se puede realizar una actualización masiva y coordinada entre todos los grandes fabricantes y mantener en secreto los detalles de un grave problema (siempre que no se divulgue su existencia).

Nos encontramos posiblemente también ante una nueva era en la Red en la que, a través de estos graves errores puestos sobre la mesa, estamos cuestionando su sostenibilidad tal y como la conocemos. Usamos protocolos diseñados, cuando menos, hace 20 y 30 años. Los ingenieros estaban mucho más sorprendidos por el hecho de que la Red simplemente funcionase que preocupados por la seguridad. Hacer que un trozo concreto de información digital concreta llegase de un punto a otro del planeta era algo demasiado fantástico como para complicarlo previniendo si alguien la iba a podía modificar, alterar u obtener de forma ilegítima. Posteriormente, sobre estos débiles pilares, se ha construido algo muchísimo más complejo y unido millones de personas y dispositivos con muy distintas motivaciones. Para abarcar toda esta explosión, se ha ido parcheando sobre la marcha un monstruo gigante con pies de barro que, a la vista de estos tres recientes acontecimientos (y de otras preocupaciones de largo recorrido, como el malware ganando la batalla a los antivirus), necesita una clara revisión y puesta a punto.

Más info en http://insecure.org/stf/tcp-dos-attack-explained.html

El pasado martes 13 de mayo de 2008, se anunció un grave fallo de seguridad que afectaba a todas las claves criptográficas RSA y DSA generadas en sistemas Linux Debian mediante OpenSSL en los últimos dos años. Esto significa que están afectados todos los certificados y claves públicas de multitud de servicios, como por ejemplo, OpenSSH, OpenSSL, telnetd-SSL, ftpd-SSL, OpenVPN y muchos más. El fallo consiste básicamente en que las claves generadas son predecibles, debido a una falta de aleatoriedad que limita el espacio de las claves al número de proceso (32.768 combinaciones).

En román paladino, lo que quiere decir todo esto, entre otras cosas, es que pueden verse comprometidas (atacadas, vulneradas) muchísimas máquinas en Internet, ya que los atacantes podrían acceder como root (superusuario del sistema) o como cualquier otro usuario a todas aquellas máquinas que permitan acceso remoto al sistema mediante claves o certificados (sin usar contraseñas), siempre que esas claves hayan sido generadas en un sistema Linux Debian mediante openSSL (que, con seguridad, son muchísimas). Asimismo, pueden falsearse firmas electrónicas y pueden descifrarse ficheros encriptados que hayan utilizado este tipo de claves comprometidas.

No es mi intención tratar en este post los detalles técnicos de dicho fallo, pero si el lector desea profundizar en ello, puede hacerlo en los siguientes enlaces: aviso en la página de debian, full-disclosure: seclist.org y anuncio en metasploit. En cualquier caso, después de analizar la información publicada, es indudable que estamos ante uno de los fallos de seguridad más graves de los útimos años. El objetivo de este post es hacer una reflexión sobre las políticas de full-disclosure o divulgación completa y detallada de las vulnerabilidades.

Para los que no lo sepan, una política full-disclosure es aquella en la que, una vez detectado o identificado un problema de seguridad, se deben facilitar y revelar todos los hechos y detalles del problema. De hecho, lo que suelen hacer normalmente quienes detectan el problema, es avisar al responsable del software para que solucione el problema y después facilitar toda la información a "todo el mundo". La razón de esta política es obvia; si no se publica "a bombo y platillo" un fallo de seguridad, los afectados no sabrán que lo padecen y no tomarán las medidas oportunas para solucionarlo. Estarán en manos del desarrollador del software, que podrá tardar más o menos en corrgirlo, si es que lo hace. La contrapartida de esta polítca es que, al publicar todos los detalles, mucha gente podía utilizar dicho conocimiento del problema para aprovecharse de aquellos sistemas vulnerables que aún no han sido corregidos. Difícil dilema pero, sin duda, yo me inclino por defender la política de full-disclosure.

Pensemos en el caso del grave fallo de seguridad de OpenSSL. Si no se hubiese aplicado una politica de full-disclosure, en el mejor de los casos, los desarrolladores del software habrían publicado una actualización, normalmente con escasa o nula información del fallo corregido. Al no ser conscientes los usuarios de la existencia del fallo, no serían conscientes del peligro al que se exponen y por tanto, no podrían calibrar la importancia y el impacto del problema en sus sistemas. Del otro modo, es posible que tarden mucho más de lo debido en corregir el problema, pero aunque lo hagan, no serían conscientes de que todas las claves generadas en los últimos dos años son vulnerables, así que, en general, seguirían padeciendo enormes riesgos de seguridad.

Podría establecerse un paralelismo con lo que ocurre en un accidente químico, biológico o nuclear. Si inmediatamente después del accidente se facilita toda la información posible, mucha gente tomará las decisiones correctas y minimizará los riesgos, otros entrarán en pánico y cometerán errores. Lo importante es que la mayoría se enterará a tiempo del problema y dependerá de si mismo para salvarse, mientras que si no se facilita la información, por mucho que se intente solucionar el problema, mucha gente padecerá las consecuencias ya que desconocen lo que pueden y lo que no pueden hacer.

En definitiva, una política de full-disclosure, aunque tiene puntos negativos (daños colaterales), generalmente es mejor que una política de no-información ya que ésta última deja expuesto a todo el mundo al problema que tarde o temprano será descubierto y explotado por alguien contra una mayoría desconocedora del asunto y no preparada para afrontarlo.

Como ya sabran algunos de mis amigos, otros todavia no lo saben... el 9 de marzo me voy a vivir a Buenos Aires, Argentina. Todo esto ocurrio hace 3 semanas, porque tan repentino? bueno, me voy a Buenos Aires a estudiar la maestria y a trabajar,.. esto lo tenia programado para principios de Agosto, pero un cambio en el calendario en la Universidad en donde hare la maestria se adelanto para mediados de marzo y pues todo lo demas tambien se adelanto.

Es un poco dificil poder irte al extranjero y dejar aqui en tu ciudad todas las personas que quieres... novia, familia, amigos... todo cambio es para bien, y creo que ahorita en estos tiempos debemos seguir preparandonos profesionalmente y no desechar esas oportunidades que se presentan en la vida; tenemos que aprovecharlas.

Y ahora que pasara? A final de mes renuncio a mi trabajo en Gobierno del Estado en donde estoy muuuy agradecido con mis jefes en haberme dado oportunidad de regresar a laboral en la Coordinación. El Proyecto Honeynet Mexico seguira activo, aunque me encuentre fuera del país seguiremos trabajando en conjunto con la Honeynet Alliance, el proyecto que tengo con mis socios Potentia-IT seguira activo, apoyando en la configuracion y administracion de equipos de forma remota... es lo bonito de la Interñé, que donde haya te conectas a donde sea... habrá muchisimo trabajoooo!!

Un saludo a todos y aqui seguimos

El Proyecto Honeynet se complace en anunciar que esta disponible para su descarga la version beta 1.3 de Honeywall, el mensaje a continuacion...

---

The Honeywall CDROM is a bootable CD that installs onto a hard drive and comes with all the tools and functionality for you to implement data capture, control, and analysis.

For more information, see: https://projects.honeynet.org/honeywall/ wiki or contact honeywall@public.honeynet.org

Hace unas cuantas semanas salio al aire la 3er Revista Bimestral Ciencia UAT, en donde al Proyecto Honeynet Mexico nos dieron la oportunidad de poder publicar un artículo llamado "Aplicaciones Prácticas de los Honeypots en la Protección y Monitoreo de Redes de Información". Me di la tarea de escanear el artículo para que lo vean como quedo.

Pueden descargar el pdf dando click en la imagen. (11 mb)

Tambien el artículo esta acá.

Estas son las oficinas de la empresa Connected Ventures, que son los creadores de Vimeo. Un gran sitio para trabajar y todos formando un buen equipo.

VIDEO

No se porque ultimamente me he sentido como que con mucho estres, tanto que ha afectado un poco mi vida personal... en el sentido de que me altero muy facilmente. Aparte, como que me quiere dar gastritis,

Quiero felicitar a JuanJo Ciarlante aka 'jjo' que en unos meses será Google boy!! Andá y demostrá de lo que vos eres capaz de hacer, tienen a un master en sus filas. El proximo año te alcanzo en Zurich!

Empieza un nuevo año con el pie derecho, despues de las fiestas navideñas y del año nuevo con mi familia y la Chaparra... regresamos a la realidad, se terminan las vacaciones, el friecito como que empieza a incrementar, etc...

Año con año se realiza en algun punto del mundo el Annual Workshop de la Honeynet Alliance, este 2007 no se puede quedar atras y tenemos 4 paises candidatos para hospedar el evento; Costa Rica, Alemania, Filipinas y Paquistan, el 11 de este mes seran las votaciones definitivas para escoger la ciudad; lo mas seguro es que quede Costa Rica por los precios bajos en cuanto a boletos de avion. El evento será a mediados de Agosto

Muchas gracias a todos por sus comentarios en el post anterior, realmente se los agradezco mucho. Con respecto a lo del trabajo en NIC.mx, tendrá que esperar... algunos diran que porque? o que no sea pendejo en desaprovechar la oportunidad... sé que es una muy buena oportunidad, pero todavia faltan cosas por hacer acá, y hasta abril o mayo podré cambiar de residencia, que acepntando el trabajo mi residencia tiene que ser MTY; no se puede trabajar via remota. No dudo que para esa fecha (abril ó mayo 2007) se presente una oportunidad igual ó mejor.

Como quiera, la gente de NIC.mx me pidio que hiciera los primeros examenes psicométricos que aplican para irle avanzando, y si para Mayo del 2007 todavia esta disponible la vacante, pues...

Se me ha presentado una propuesta de trabajo en NIC.mx el puesto es de Administrador de Sistemas Senior, la cual es una oferta muuuuuy tentadora... ya que es muy buen sueldo, las prestaciones son excelentes y aparte dan opción a maestría en el ITESM, cabe mencionar que NIC.mx es manejado por ellos. Esto implicaría cambiar mi residencia a Monterrey.

Ayer hable con la persona encargada de Recursos Humanos, tengo hasta el sabado para decidirme si empiezo a hacer los examenes necesarios para poder aplicar a este puesto.

/me pensando...

El jueves 16 de Noviembre estaré nuevamente en la Ciudad de Toluca, Edo. de México donde fuí invitado a la Expo-Informática 2006 organizada por la Universidad Tecnológica del Valle de Toluca. Estaré dando 2 charlas, una sobre SSL y otra de Honeynet México.

El viaje será de ida y vuelta el mismo día, tenemos agendado los vuelos partiendo de Monterrey a las 6.30 am y regresando a las 9 pm del mismo jueves... y digo que "tenemos" porque mi Chaparra ira conmigo! !

Cable ISP @ H. Matamoros, Tam

work... work... work... work... work... work... work... work... work... work...

Cansado y con sueño...

El día de ayer fuí con Rickardo a Matamoros a instalar el Firewall demo que se le venderá a Comunicable, ellos ofrecen Internet por Cable en la ciudad de Matamoros, Tam. Se hizo un pequeño laboratorio para emular su red que tienen ahorita en producción, y para que se enamoren del Firewall que es un Checkpoint .

Nos acompaño Martín Hoz que es Ingeniero de Checkpoint para Latinoamerica.

Ya despues de haber terminado todo el trabajo en la empresa, cruzamos el charco (Río Bravo) y fuimos a Brownsville, ya que Rickardo tenía que comprar unas cosas. Con el tiempo encima y la preocupación de regresar a Victoria temprano, solo fuimos a 2 tiendas, yo queria ir al Mall... pero ya era muy tarde. Ni pedo.. jeje será hasta final de mes que vaya de nuevo a USA.

No he tenido tiempo de postear... chingos de trabajo. Estoy trabajando en la Campaña de la Lic. Amira Gomez Tueme (Candidata a la Senaduría por Tamaulipas por el PRI). Muy buen ambiente de trabajo y rodeado de buenos amigos. Este 2 de Julio... VAMOS A GANAR!

Tengo laptop nueva... ahorita ando haciendo la migración de mi backup, despues instalaré Linux y pondré a punto mi Desktop.

Desde el jueves soy el Security Sales Manager, Región Noreste de ConnectEverywhere S.A de C.V. ConnectEverywhere es una compañía de profesionales basada en E.U. y México con expertos en tecnológia, capaces de implantar soluciones en materia de infraestructura, monitoreo y seguridad que garanticen a las empresas una operación constante, a bajo costo y alta disponibilidad en:

–Telecomunicaciones:

•Voz, datos y videoconferencia

–Edificios inteligentes

–Seguridad tecnológica para instalaciones y video vigilancia

–Seguridad informática

–Optimización de data centers

–Automatización de centro de servicios al cliente (Service Center)

Muchas Gracias a Israel Quiroz Plata (CTO de la empresa) y a Rickardo Gonzalez por la confianza e invitación puesta en un servidor.

Cualquier duda acerca de algun(os) productos envienme un correo a mhernandez_at_connecteverywhere.com.mx

Hoy apoye a la gente de la UNAED (Unidades Académicas de Educación a Distancia), en su materia de Linux, comandos básicos de Impresión y métodos de respaldo. Mañana seguire con la clase. Las sedes a las que les di la clase fueron San Fernando, Valle Hermoso, Camargo, Tula, Manuel & Jaumave.

Es bonito ver que ya hay materias enfocadas a Linux dentro de la UAT, asi la comunidad va en aumento... y que mejor aportar nuestro granito de arena para que esto siga creciendo.

El Lunes 23 de Mayo di una Conferencia sobre Honeypots en el 1er Simposium de Sistemas Computacionales del Tecnologico de Cd Victoria. Hubo muchos participantes en la conferencia. Me puse un poco nervioso :/ pero bueno, creo que salio bien la conferencia.

La presentacion esta en linea en esta direccion: Click AQUI!

Tambien rife un libro entre los participantes, que por cierto se lo gano Alexis.

Ayer continue haciendo pruebas con la VPN, de Linux a Linux esta de agua... hoy seguire haciendo pero de Linux al Checkpoint FW-1. Lo que queremos hacer es pasar VoIP en una VPN y utilizar de medio un Infinitum o cualquier enlace hacia nuestra red y asi bajar el costo de un enlace dedicado en el punto remoto. Terminando las pruebas, les digo como me fue... ;o)

Por otra parte... Bismarck me paso el Libro del Codigo da Vinci en pdf, ya empece a leerlo... espero terminarlo pronto. Si quieren que se los envie, mandenme un mail a me@mike.com.mx

Damn! de nuevo a trabajar, toda esta semana estare de Guardia en la oficina para la proxima semana poderla tener libre; lo bueno es que se pasara rapido los dias porque ya me quiero ir de vacaciones a Hermosillo.

Hoy entra en vigor la nueva Ley de Transparencia Bancaria, que a mi se me hace algo excelente, porque antes no sabias que ingados te cobtraban los bancos cuando hacias consultas a otros bancos en los cajeros. Banamex desde hace como 2 o 3 dias muestra esto.

Miguel José Hernández y López

Linuxero de corazón desde hace aproximadamente 10 años. Soy activista de Software Libre y me especializo en Seguridad Informática, mas concretamente en Honeypots y Honeynets. Soy el fundador del Proyecto Honeynet México y miembro del Proyecto Honeynet. Me gusta mucho jugar con firewalls, IDS, etc

He sido ponente en varios Congresos en México y en el extranjero. Me gusta leer, viajar, divertirme,... solo tenemos una vida.

Actualmente vivo en Buenos Aires, Argentina en donde hago un MBA en la Universidad de Palermo y trabajo como Consultor de Seguridad Informática (buscando trabajo...)

Curriculum Vitae: Enviame un correo.

Puedes importar mi clave llave pública: gpg --keyserver pgp.mit.edu --recv-key 42FCBD83

Fingerprint: CA40 3439 DF49 A75D 17B2 4561 A31D D837 42FC BD83