Categoría: seguridad

Publicado en
por

Pensé que este fin de semana iba a poder descansar. Básicamente el viernes lo dediqué a diseñar la solución al ajuste que surgió el jueves.

Sorpresa Uno :
El sábado a primera hora, descubro que están tratando de ingresar al módulo de administrador de un cliente: Casi nadie se da cuenta de esas cosas, pero por regla general los sistemas de gestión que hago me avisa con correos cada intento no autorizado de entrar como admin.

Este cliente ha tenido intentos e intrusión cada dos o tres semanas, es decir, aislados, desde hace unos meses (marzo ?), la persona trata de entrar con un user agent forjado, y siempre con clave numérica como usuario, mas un password mas o menos genérico. Tiene pocas probabilidades de entrar, principalmente porque llevo años sin ver sistemas que usen numeros como clave de usuario, y dos, porque al primer intento de intrusión hace unos meses cambié todos los passwords de los 60 usuarios a cadenas random de 16. Del atacante solo sabía que estaba en México, (si no el sistema bloquea a otros países), direcciones ip variables de infinitum y casi nada mas.

El intento de intrusión del sábado falló pero además la dirección no era de ininiftum sino de un proveedor en la nube bastante regular, situado en México. Es decir, esta persona puso un script en un servidor hosteado en México. Un análisis preliminar dice que en esa ip corre un servidor IIS .

Mandé unos correos a mi cliente y al proveedor en cuestión, debido a que el cliente maneja información confidencial, y que si no lo hago meto en problemas a la empresa con la que doy servicios al cliente ( historia larga pero pagan a mi empresa por dar seguimiento a ese tipo de actividades en la república mexicana).

Entre zangas o mangas, me pasé unas nueve horas entre sábado y domingo trabajando en eso, y pensando. Y eso que no puede pasar las barreras de seguridad del software.

EL resultado es que hice cambios al software para darme mas avisos, y me quedé pensando, y el domingo tuve un intento nuevo de intrusión desde infinitum. La próxima vez voy a cambiar la ruta del software, como le sugerí al cliente hace unos meses.

SORPRESA DOS:

Al ir en la mañana a revisar pago de proveedores a mi empresa, encontré que un cliente que suele retrasarse en pagar, me hizo el pago del primero de los eventos, es decir, del que estaba muy contento. 4872 por unas nueve horas de trabajo =P

Además de los pagos semanales de costumbre

SORPRESA TRES:

En la oficina de mi cliente principal está un antiguo compañero de trabajo (de otra área pero comíamos juntos con otros cinco), que es uno de los socios de la nueva SA que se está creando. Pues estando yo en mis asuntos, recibe el una llamada de la notaría para decir que los nombres que sugerí para la SA estaban todos ocupados, así que me puse a mandar cinco nombres nuevos. Espero que alguno de ellos pase, porque segun yo los anteriores eran simples y únicos, pero por lo de la SRE los rebotaron (realmente dos de ellos suenan muy bien y quizá había marca registrada).

La sorpresa fue que localizaran a esta persona. Supongo que como ni mi esposa ni yo usamos celular (el iphone 4 lo tengo en su caja y rara vez lo uso), se les hizo mas facil localizar al tercer socio que a mi por correo electrónico.

Asi que espero a finales de esta semana saber ya como se llamará la nueva SA.

Publicado en
por

En el corporativo donde estoy tengo de manera terrible problemas con el servidor principal con sus docenas de conexiones ftp simultáneas. he notado algo raro también con la redirección de puertos.

El problema radica en que además que nuestras conexiones de internet son inestables, no puedo hacer pruebas en el server de la empresa porque las pruebas muestran problemas, y no hay forma de saber si son o no son por el uso excesivo de cpu del server. Pasa de 5 el load promedio aleatorio si alguien usó el sistema de tickets propietario, que no hice yo.

Asi que creo que lo mas sensato es hacer la prueba en uno de mis propios servidores, configurar lfd en ambos servidores para bloquear las direcciones ip de las dos conexiones de internet (aunque son variables duran un buen rato) y habilitar en mi server mas libre uno de mis dominios con una orden para dar die si no es la dirección de mi propia VPN.

Sigue el problema de bajo rendimiento de la red pero es la unica forma que se me ocurre de probar esto en horas de trabajo, después de todo es para la empresa.

Publicado en
por

Desde que nos cambiamos a esta oficina, coincidiendo con la entrada «operativa» de una persona, noté que nuestra red estaba siendo altamente inestable. Noté también serios problemas en cuanto a la latencia, y al conectarme al servidor de la empresa a los dos minutos me botaba, o sea que tratar de hacer cambios «en vivo» tenía problemas extras por el exceso de ftps.

En su momento decidí aplicar un wireshark para verificar que paquetes estaban siendo interceptados y encontré varios de conexiones con youtube (sitio que deberían de bloquear de todos los centros de trabajo relacionados con seguridad), pero no le dí mayor importancia.

Una de las cosas que empecé a hacer era guardar los datos en mi propia pc, y a través de un mecanismo de encriptación y desempaquetado subir un archivos al server de nuestra empresa, que por medida de seguridad solo permite que e conecten clienttes de México, asi qye otras redes externas ( las famosas de prueba tipo 127.0.0.1 de redes privadas), tampoco pasan.

Hoy, por cosas que no venian al caso decidí desactivar mi VPN normal (la que establezco para investigaciones y para mis propios servidores), y me pasé a la red wireless de nosotros, corporativo. En lo personal estoy empezando a hartarme de la nula conexión de internet. Me conecté a la segunda wireless por la urgencia, hice lo que tenía que hacer, y oh sorpresa, en cuanto esta persona se levantó de su lugar, cerrando su computadora la conexión se restableció magicamente.

El problema entonces, dejando de lado del ancho de banda consumido por elk sujeto, es que por lo visto una red saturada es mas susceptible a tirar VPNs con SSL.

De todos modos mi impresión general es la correcta:

Para todo lo que no es de nuestro servidor, conectarme a través del tunel ssl a uno de mis servidores en Houston, y de ahí verificar lo que tengo que hacer.

Lo malo del asunto es que el rendimiento de la red del corporativo se va a pique por mientras. Afortunadamente como por estructura dependo de la otra unidad de negocio, quizá deba de estar usando la Wireless que no está relacionada con mi «subproyecto» principal.

Y las clases de español para definición de objetivos, para esa unidad, quedan en el tintero.

Publicado en
por

Tuve unos meses pesadisimos en el trabajo pero ya está mejor.

Hace unos momentos recibí una solicitud de ayuda de mi antiguo jefe en un lugar hace unos años. Basicamente necesitaba que le rastrearan unos correos determinados.

Hecho. Lo que espero es que reporten a la policía el evento, que fue a principios de mes.

La ultima vez que recibí un correo supuestamente anónimo, era para decirme algo que ya sabía.

Por lo general el Mismo Mashall Mac Luhan diría que el medio es el mensaje. En este caso sabemos varias cosas por el contenido, y que la persona usaba una dirección IP de cablevisión.

Lo extraño es que de los tres mensajes, solo dos podian recibir respuesta (historia larga), por lo cual es casi imposible que esperaran respuesta. Mas bien querían asustar a la empresa en que ahora trabaja mi antiguo jefe.

Me acabo de ganar ingreso extra por análisis de cada correo (cantidad redonda).

Ojalá se animen a denunciar.

Publicado en
por

El dia de mañana empieza a funcionar el nuevo control biométrico para abrir la puerta en la oficina, el anterior solamente era asistencia pero no abría la puerta.

Me pasó algo curioso cuando fui al baño. Primero tengo que registrar que voy al baño (o el baño no me deja entrar). Una vez que entré, empecé a hacer lo necesario, de pie. Como no había ido al baño desde ayer me tardé mas de los 15 segundos de rigor, y cuaz, se apaga la luz y fue impresionante que por no moverme mientras cumplía mi objetivo, ver los rayos de luz de los detectores de movimiento. Necesario por mi tipo de trabajo y la información que manejamos.

Despues de dejar la ofrenda a San Itario, evidentemente la luz se prendió, ya ya regresé a mis labores.

Había terminado la ejecución del test de velocidad de internet en la oficina, y speedtest.net me dice datos raros, supongo que Telmex está alterando el ancho de banda de ciertos servicios, porque no tenemos 12 mb de velocidad, y los xmlrpc (http://www.google.com/#sclient=psy&hl=es&q=xml-rpc&aq=0&aqi=g5&aql=&oq=&pbx=1&fp=82b577106ff03366&pf=p&pdl=300) me están tardando demasiado.

Red ineficiente, otra vez.

Publicado en
por

La perdida de paquetes de ayer no coincide con lo que yo emití.

¿Tendremos una PC en modo promiscuo respondiendo paquetes ajenos?

Haciendo una revisión por encima, el hecho que usemos redes WAN crea ruido en el sentido que no toda la señal se está utilizando, y los problemas de celulares y la zona pueden ser de saturación.

Se me ocurren dos alternativas:

1 ) Tunneling via un file_get_contents sobre un servidor con timeout de 5 minutos. Si el problema es sniffer o interferencia debe mejorarse. Lo que si es que no tenemos autoridad para cambiar la contraseña del hub, y tampoco creo que sea el problema. La instrucción debería ser un CPM para ver si hay modo promiscuo activado en la red.

2 )E-go.

A final de cuentas el problema no se ve bien, y es solo del recurso técnico, vamos a seguir con problemas secundarios como los cambios de organigrama.

Si no usan los principios básicos de la dirección, menos pueden controlar los recursos de la red. Así que una vez mas la medida provisional es hacer enlaces para quitar los parásitos.