Punto Net Tech

Punto Net Tech
Servicios Corporativos de Ciberseguridad - IT - DBA

domingo, 29 de noviembre de 2009

Día Internacional de la Seguridad en Cómputo

El DISC 2009 México será celebrado el 30 de noviembre de 2009 (consulta el programa) teniendo como sede el Instituto de Investigaciones en Materiales, localizado dentro de las instalaciones de Ciudad Universitaria.
Para acceder a la videoconferencia, acceder a
http://vnoc.unam.mx/.

Hasta la proxima.
Saludos

Enrique

lunes, 23 de noviembre de 2009

Jornada Tecnologica en Cordoba

Un evento con todo. A realizarse el dia viernes 27 de noviembre de 2009 a las 09:45 a.m. en la Universidad Tecnológica Nacional Facultad Regional Córdoba, sito en Maestro M. López esq. Cruz Roja Argentina- Ciudad Universitaria de la Ciudad de Córdoba, Argentina.

La agenda es:
10 a 11.30 hs
Forefront Stirling

El nuevo producto Forefront "Stirling" es una consola central de monitoreo y administración para varios productos y tecnologías diferentes. Esto incluye Threat Management Gateway (TMG), Forefront Client Security (FCS), Forefront Security for Exchange (FSE), Forefront Security for SharePoint (FSSP), pero también se integra con Network Access Protection (NAP), Windows Firewall y las Políticas de grupo.
A su vez, vamos a conocer el ForeFront TMG que reemplaza al Isa Server 2006.
Orador: Enrique Dutra – Puntonet Soluciones. Microsoft MVP


De 12 a 13.30 hs

Tunning de Performanc en SQL Server 2005/2008
Analizando los motivos de los tiempos de espera (WAIT STATISTICS)
Esta presentación tiene por objetivo analizar los WAIT TYPES y las estadísticas asociadas a los mismos para determinar las acciones correctivas relacionadas con tiempos de demoras y baja performance en los procesos de SQL Server. Los principales temas a ver serán:
Que son los WAITS STATISTICS en SQL Server 2005/2008
Como se obtienen estas estadísticas
En donde obtenemos información adicional, que información descartamos y a que información prestamos atención.
Los casos más comunes y que acciones tomar
Orador: Adrian Garcia - Intertron

De 15 a 16.15 hs

Novedades en .NET Framework 4.0 y Visual Studio 2010.
Descripción: Resulta difícil pensar en una nueva versión de un framework maduro como .NET. Sin embargo, algunas semanas atrás se liberó la Beta 2 de Visual Studio 2010, presentando grandes cambios en sus herramientas e interfaz de usuario, permitiendo un mayor soporte al proceso completo de desarrollo de software, con mayor productividad, así como la evolución del Framework .NET, integrando soluciones para el desarrollo de aplicaciones para Windows 7, el mejor aprovechamiento de nuevos procesadores multi-core y hasta nuevos lenguajes que se suman a la familia .NET.
Orador: Miguel Angel Saez, Comunidades MSDN – Microsoft Argentina y Uruguay.

De 16.45 a 18 hs

Qué hay de nuevo en ASP.NET 4.0
ASP.NET es una plataforma estable y madura, con lo cual parece dificil pensar en un nuevo conjunto de funcionalidades para la misma. Sin embargo, el lanzamiento de ASP.NET 4.0 en combinación con IIS 7.5 y Windows Server 2008 R2, ofrece nuevas capacidades para el desarrollo y despliegue de aplicaciones web.
Orador: Eugenio Serrano, Solid Quality Mentors - Microsoft MVP

De 18.30 a a 19.45 hs

XNA, el desarrollo de video juegos al alcance de todos
Presentación de XNA Game Studio como una potente herramienta de desarrollo tanto Indies como profesional. Veremos a través de ejemplos la facilidad con la cual pueden crear su propio juego, además mostraremos algunas de las ventajas de la nueva versión de la herramienta, "XNA Game Studio 3.1"
Orador: Agustin Rosso. – Microsoft Student Partner


Los esperamos. Para registrarse visitar ese site

martes, 8 de septiembre de 2009

Actualizaciones de Septiembre

Estimados
Estas son las actualizaciones de este mes:

1) MS09-045 - Vulnerability in JScript Scripting Engine Could Allow Remote Code Execution
2) MS09-046 - Vulnerability in DHTML Editing Component ActiveX Control Could Allow Remote Code Execution
3) MS09-047 - Vulnerabilities in Windows Media Format Could Allow Remote Code Execution
4) MS09-048 - Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution
5) MS09-049 - Vulnerability in Wireless LAN AutoConfig Service Could Allow Remote Code Execution

Recomendamos verificar vuestras plataformas y aplicar aquellas que sean necesarias.
Saludos y hasta la próxima

Quique

domingo, 5 de julio de 2009

Serie de 4 Webcast sobre Seguridad de Windows 7

Estimados

Ya están disponibles los links para inscribirse a los Webcast de Julio sobre Windows 7.
Aqui les detallo las fechas y temas a tratar.

Evento 1: MS Windows 7: Mejoras de seguridad en el S.O.” Inscribirse aquí.
Fecha: 07/07/2009.FINALIZADO

Evento 2: Ms Windows 7: Seguridad reforzada en el IE 8.Inscribirse aquí. Fecha: 21/07/2009. FINALIZADO

Evento 3: Ms Windows 7: Seguridad corporativa, el cliente por excelencia. Inscribirse aquí. Fecha: 23/07/2009. FINALIZADO

Evento 4: MS Windows 7: Nuevo Centro de Seguridad. Mostrar las mejoras de todos los aplicativos que forman parte del CS. Inscribirse aquí.
Fecha: 29/07/2009. FINALIZADO

Los espero en linea...
Saludos

Quique

EVENTO UTN - Windows 7


Gente
Por este medio quiero agradecer a todos aquellos que asistieron al evento, participar activamente y probar Windows 7. Estimamos que para fines de Agosto estaremos realizando otro evento sobre Windows 2008 R2 y Windows 7.



Tambien agradezco la participación de Eugenio Serrano en el evento, un monstruo armando demos. Gracias Euge!!

Por ultimo agradecemos a la UTN por facilitarnos el Aula Magna para realizar este exitoso evento.

Gracias a todos.

Quique

miércoles, 10 de junio de 2009

Una demo de la gran 7

Una demo de la gran7
Microsoft TechNet y MSDN te desafian a demostrar cuanto sabes de Windows 7. ¡Te invitamos a participar de este nuevo desafío!. Ingresa en puertadeenlace.net, descarga Windows 7 RC, armá tu video y participa por USD 1000* y dos netbooks. ¡Tenemos todo para ayudarte! Para bases y condiciones de este concurso haz clic aquí

Saludos

Quique

*El primero se llevará USD 1000 en Cheques del viajero de American Express y el segundo y tercero una netbook (cada uno).

Actualizaciones de Junio

Estimados
Este mes se han publicado 10 boletines de seguridad (del MS09-018 al MS09-027) correspondientes a su ciclo habitual de actualizaciones.

Les recomiendo visitar el sitio http://www.microsoft.com/technet/security/bulletin/ms09-jun.mspx y verificar cuales son las actualizaciones requiere su plataforma. Recuerden de mantener su plataforma actualizada.
Hasta la próxima.

Quique

domingo, 7 de junio de 2009

Asegurando dispositivos removibles en 4 pasos

Bitlocker
Bitlocker fue incluido por primera vez en Ms Windows Vista, proveyendo un sistema de protección de los datos y el sistema operativo con una metodología de cifrado aún cuando el S.O no esté funcionando. Los equipos portátiles tienen cada vez mayor difusión y su uso es cada vez más frecuente por parte de los usuarios de las compañías. La problemática del uso de este tipo de equipo, es cuando un usuario denuncia su perdida. Más allá del valor monetario del mismo, lo que se pone en riesgo es la información que se encontraba en el equipo almacenado en ese momento. En Ms Windows 7 incluye ahora Bitlocker To Go, permitiendo extender la protección a los dispositivos de almacenamiento extraíbles.


Bitlocker To Go
Bitlocker To Go extiende el cifrado a los dispositivos portátiles tales como las memorias USB y a discos removibles usando USB. Esto es configurable tanto localmente como por políticas de grupo. Imagine que Ud. podría configurar el Bitlocker para que el usuario solo pueda almacenar datos solo en unidades protegidas por Bitlocker , es decir el pendrive USB debería estar cifrado , caso contrario mostrará una alerta indicando que el dispositivo tiene que ser cifrado o solo lo podrá acceder como dispositivo de lectura.Si un usuario perdiera un pendrive, el que quiera accederlo deberá contar con la contraseña con la cual fue inicializado, caso contrario solo podrá formatear el dispositivo para usarlo.

Usando Bitlocker To Go
Para inicializar localmente un dispositivo removible, puede hacerlo desde el Panel de Control o desde el Explorer, botón derecho del Mouse, en "Turn On Bitlocker" o "Activar Bitlocker".

Paso 1: Inicializar el dispositivo removible

Si el usuario lo desea, puede proteger el acceso al dispositivo removible con una contraseña o un acceso a un smart card.

Si opta por la contraseña, el Bitlocker le indicará si es o no segura.

Paso 2: Guardar la llave de recuperación.

Esta clave es requerida en el caso de que el usuario pierda o se olvide la contraseña de ingreso. Este archivo se puede almacenar o imprimir. En el caso de que lo almacene, recuerde no guardarlo en el mismo dispositivo, ya que no podrá accederlo en el caso de no contar con la contraseña. Almacene los datos en lugar seguro.


Paso 3: Confirma el cifrado del dispositivo

Una vez que está listo, puede proceder al cifrado del disco removible o pendrive USB.

Paso 4: Cifrado de dispositivo

Solo resta que termine de cifrar el disco para utilizarlo.

Una vez finalizado, en el Explorer de Windows, podemos observar que el S.O. nos indica mediante un candado que el dispositivo está cifrado.

Usando el dispositivo removible
Si retiramos el mismo y volvemos acceder, nos pedirá la contraseña de acceso que definimos en el paso 1).

¿ Que pasa si usamos Vista o XP? ¿Podemos usar esta funcionalidad?.

La respuesta es sí. Cuando Bitlocker To Go realiza el cifrado, deja en la raiz del dispositivo sin cifrar la utilidad Bitlockertogo.exe que si es ejecutada, debe aparecer una pantalla similar a la del punto anterior en donde nos pida la contraseña.

Si colocamos el pendrive, veremos que la raiz del mismo posee los siguientes archivos:

Ejecutamos el Bitlockertogo.exe y aparece una pantalla como esta:

Esta funcionalidad permite que pueda cifrar el pendrive en un MS Windows 7, pero también pueda acceder a su contenido en MS Vista o XP.

Si Usted posee una Pc con Sistema Operativo MS Windows XP, cuando se ingrese el pendrive al puerto USB, debe aparecer la pantalla como se visualiza en la imagen anterior. Una vez que ingresan la contraseña, aparecerá otra ventana que nos permitirá copiar o acceder a los archivos alojados en el pendrive.

Presté mi pendrive, ¿Tengo que formatearlo para cambiar la contraseña?

NO, si colocas el pendrive o dispositivo en Ms Windows 7, si vas al Panel de Control, la opción Bitlocker o en el Explorer, botón derecho del mouse, "Administrar Bitlocker", podrás realizar las siguientes acciones sobre el dispositivo:

  • Cambiar la contraseña para desbloquear la unidad.

  • Quitar la contraseña.

  • Agregar un smart card para bloquear la contraseña.

  • Volver a guardar o imprimir la clave de recuperación.

  • Desbloquear automáticamente esta unidad en el equipo.

Espero que aprovechen esta funcionalidad y les sea de mucha utilidad.

Hasta la próxima.

Quique.

martes, 2 de junio de 2009

EVENTO en CORDOBA: Un sistema operativo de la Gran 7

Estimados:
Con gusto les anuncio el primer gran evento de Microsoft Windows 7 a realizarse en Córdoba. Aquí les traslado la información sobre el mismo

TITULO DEL EVENTO: Un sistema operativo de la Gran 7

Fecha y Lugar:
Martes, 30 de junio de 2009. De 06:00 p.m. a 09:30 p.m
UTN Regional Córdoba Maestro M. López esq. Cruz Roja Argentina, Ciudad UniversitariaCórdoba Argentina

Información general del Evento:
Denominación : Un sistema operativo de la Gran 7

De la mano de Quique Dutra y Eugenio Serrano daremos un paseo por el nuevo sistema operativo que será lanzando en los próximos meses: interfaces más amigables, búsquedas aún más inteligentes, seguridad reforzada, novedades en APIs para desarrollar, librerías de documentos, soporte para nuevos dispositivos, menor consumo de recursos.

Oradores: Enrique Dutra (MVP Enterprise Security) y Eugenio Serrano (MVP ASP/ASP.NET)

URL para registrarse : http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032417789&Culture=es-AR


Los esperamos. Agradecemos difundir este contenido.

Hasta la próxima.

Microsoft - Libro sobre Protección de Datos Personales

Estimados
Microsoft ha publicado un libro sobre el tratamiento de Protección de Datos Personales, siendo el mismo la versión 2.0 . Está en español y se ha publicado en el sitio

http://technet.microsoft.com/es-es/dd756060.aspx

para que puedan bajar libremente el mismo.
Espero que les sea de utilidad.
Saludos cordiales

Quique

miércoles, 27 de mayo de 2009

Nuevo SP2 para Vista y Windows 2008

El martes 26 Microsoft ha publicado el service pack 2 , para los S.O . Ms Vista y el S.O Ms Windows 2008.

SP2 para Vista y Ms Windows 2008

Antes de instalar el service pack 2, veriqifue que el S.O ya tenga instalado el SP1. Si no tiene instalado el SP1, instale primero el SP1 y luego aplique el SP2.

Dentro de las características del nuevo SP2, tenemos:
- Detección de nuevos dispositivos de Hardware.
- Mejoras en la compatibilidad para ciertos aplicaciones o programas.
- Windows Search 4.0

Es un único SP para ámbas plataformas. El SP2 se denomina KBWindows6.0-KB948465-X86.exe o Windows6.0-KB948465-X64.exe dependiendo la plataforma si es X86 o X64. El mismo SP viene para 5 idiomas diferentes, siendo estos : alemán, español, francés, inglés y japonés.
Para mayor información sobre el SP2 o para descargarlo, visite:

URL De KB 948465 : http://support.microsoft.com/kb/948465
Todo sobre el SP2 : http://technet.microsoft.com/es-ar/windows/dd262148.aspx

Hasta la proxima!!

lunes, 25 de mayo de 2009

Microsoft AppLocker

Analizando temas que nos permita mejorar el nivel de seguridad, vamos a trabajar esta vez una nueva funcionalidad de Ms Windows 7 denominada APPLocker.

¿Qué es el APPLocker?
APPLocker es una nueva herramienta de restricción de software disponible para Ms Windows 7 y Ms Windows 2008 R2 que reemplaza a la política de restricción de software (Software Restriction Policy-SRP). Permite que el Administrador de Seguridad o Responsable de IT defina exactamente que se le permite ejecutar a nivel de aplicaciones, en el escritorio al usuario.
Esta herramienta va a solucionar notablemente los problemas de normalización que poseen las compañías, ya que permite definir que podrá ser utilizado en los ambientes de trabajo, minimizando la carga a la Mesa de Ayuda que siempre sufre con la variedad de aplicaciones que poseen los usuarios instalados en sus puestos.
El usuario, si está habilitado, podrá ejecutar aplicaciones, instalar programas y ejecutar scripts, que serán siempre validados por APPLocker.

¿Cómo convocarlo?
Para convocar el APPLocker, debe ir en su MS Windows 7 a Panel de control, Herramientas Administrativas, Políticas de Seguridad Local, Políticas de Control de Aplicaciones, AppLocker. El mismo puede ser aplicado mediante GPO.

¿Sobre qué objetos se permiten crear las reglas?
El APPLocker permite generar reglas en donde se puede restringir o permitir y auditar el uso de ejecutables, instaladores con el formato de Windows Installer (msi) y ejecución de scripts.

¿Qué acciones posee el APPLocker?
Las acciones son de PERMITIR o DENEGAR, siempre y cuando la configuración sea aplicar las reglas. Si definimos monitorear, solo se generan eventos en los logs.

¿Cuáles son los modos del APPLocker?
Los tres modos de APPLocker a nivel de ejecución son:
· No configurado: configuración predeterminada. En este caso no existe restricciones que se apliquen. Recuerden que pueden ser locales o mediante la aplicación de GPO (Directivas de Grupo).
· Aplicación de reglas: se aplican las reglas que se han definido.
· Solo auditoria: Las reglas creadas no son aplicadas, pero si auditadas. Esto es lo primero que debería realizar en un escenario de prueba, para hacer un correcto despliegue de las reglas y que no impacte en los usuarios finales. Una vez que ha verificado por los resultados, que las reglas son las acertadas, puede cambiar la modalidad a Aplicación de Regla. Los resultados de las auditorias están en el visor de eventos.

En este caso hemos definido las reglas de solo Auditoria, con el fin de evaluar como impactan las restricciones en el caso de aplicarse.

Aplicación de reglas
El APPLocker, permite evaluar las condiciones de los archivos de ejecutables, instaladores y scripts al momento de su ejecución. Las mismas pueden ser:
· Publicador: se analizan los valores o atributos de publicación del archivo, como autor, nombre original del archivo y versión. Se debe tener en cuenta que si solo autoriza una versión de software (por ejemplo, la 8.0), si luego se actualiza el mismo, DEBE cambiarse la regla, para que pueda ejecutarse.
· Path: lugar donde se ubica el software instalado o alojado.
· Hash o firma: es muy recomendado, si la aplicación no posee bien detallado los campos para utilizar la opción de PUBLICADOR.
Una vez configuradas las reglas pueden editarse y encontrará campos de EXCEPCIONES en donde puede definir aquellas alternativas que deben tenerse en cuenta para que no deniegue el uso del aplicativo o script.

EJEMPLO
Ahora vamos a crear una regla que audite en este caso archivos ejecutables. Para ello, primero debemos ir a Regla Ejecutables y con el botón derecho del mouse, crear una nueva regla.

Paso 1: Crear la Regla
En este caso sobre archivos ejecutables.

Paso 2: Accion (Permitir o Denegar)
Si usamos un archivo ejecutable, en este caso hemos elegido PERMITIR.
Paso 3:
Publicador, Ubicación o Hash
Vamos a crear una regla según su ubicación.
Paso 4: Path o ubicación
Definimos donde estarían los ejecutables que queremos autorizar.

Paso 5:Definicion de Expeciones

Si lo deseamos, podemos crear excepciones, que en este caso generaría una denegación.

Paso 6: Verifica la regla creada.
A tener en cuenta

Las reglas de AppLocker están completamente separadas de la política de restricción de software (SRP) y las misma no pueden ser utilizadas para la gestión de las versiones beta de Windows 7.
Hasta la próxima.

miércoles, 13 de mayo de 2009

Microsoft Security Bulletin Summary for May 2009

Estimados
Ya tenemos para descargar la actualización de este mes de Mayo. Esta actualización de seguridad resuelve dos vulnerabilidades en el servidor DNS de Windows y Windows servidor WINS. Estas vulnerabilidades podrían permitir a un atacante remoto para redirigir el tráfico de la red destinados a los sistemas en Internet a los sistemas propios del atacante.
Les recomendamos implementar esta actualizacion a la brevedad. La misma ha sido clasificada como IMPORTANTE.

Hasta la proxima

martes, 14 de abril de 2009

Microsoft Security Bulletin Summary for April 2009

Actualizaciones de Abril
Esta noche ya podrán descargar 8 actualizaciones correspondiente a los boletines MS09-09 al MS09-16, correspondientes a :

- MS09-09: Vulnerabilities in Microsoft Office Excel Could Cause Remote Code Execution (968557).
- MS09-10: Vulnerabilities in WordPad and Office Text Converters Could Allow Remote Code Execution (960477)
- MS09-11: Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (961373).
- MS09-12: Vulnerabilities in Windows Could Allow Elevation of Privilege (959454).
- MS09-13: Vulnerabilities in Windows HTTP Services Could Allow Remote Code Execution (960803).
- MS09-14: Cumulative Security Update for Internet Explorer (963027)
- MS09-15: Blended Threat Vulnerability in SearchPath Could Allow Elevation of Privilege (959426)
- MS09-16: Vulnerabilities in Microsoft ISA Server and Forefront Threat Management Gateway (Medium Business Edition) Could Cause Denial of Service (961759)

Para aquellos que requieran un documento de todos los boletines de seguridad emitidos por Microsoft, les recomiendo entrá AQUI en donde encontrarán las fechas y los artículos con las diferentes actualizaciones desde el año 2006. Les recordamos que excepto las actualizaciones publicadas fuera de fecha, los boletines de Microsoft son publicados el segundo martes de cada mes.

Si no cuenta con una herramienta de despligue para las actualizaciones, y requiere su implementación, recuerde que puede utilizar el MBSA y el WSUS (verificar y desplegar) siendo ámbos productos de descarga gratuita de Microsoft. Es importante que la compañía cuente con una política de actualización de software, sobre todo aquellas actualizaciones marcadas como "Windows Security". No realice actualizaciones masivas y actualice por el simple hecho de actualizar. Verifique su entorno, chequee la documentación de las actualizaciones y como impacta en su infraestructura. Recuerde que si posee conectores de base de datos, tenga cuidado de actualizar los drivers de conexión como ODBC, ya que una nueva versión puede provocar que su sistema no se comporte adecuadamente.
Otro punto para tener en cuenta en la actualización, es que DEBE verificar si una vez implementado requiere un reinicio de la aplicacion o del servidor. Trate de optimizar la entrega de servicios, planificando adecuadamente su implementación. La actualización se hace efectiva, una vez reiniciado el servicio o servidor. LEA ATENTAMENTE LAS RECOMENDACIONES DE LA ACTUALIZACION.

Por último, no fuerce la instalación de una actualización si la misma genera un error o da problemas en la instalación. Lea la documentacion.

Plataforma actualizada, plataforma segura....

Hasta la próxima....

jueves, 2 de abril de 2009

¿El lobo está?... El lobo no resúlto ser el Conficker...

... ¿El lobo está? Se está preparando para el 1ro de Abril...
... ¿El lobo está? Está listo para actualizarse...
... ¿El lobo está? Está buscando Pc para infectar...


El administrador leía en los diarios la amenaza del código malicioso que se activaría el 1ro de abril. Los proveedores de software, antivirus y otras soluciones le enviaban cadenas y correos con recomendaciones y procedimientos para asegurar su red. Necesitaba ajustar lo que tenía, ya estaba a fin de mes y cualquier implementación resultaría en costos y tiempos de implementación.Su red tiene 500 puestos, y debido a problemas de tiempos no lograba verificar que los antivirus y las actualizaciones de todas las PC estuvieran al día. No sabía que hacer o por donde empezar, ya que los antivirus decían que el problema era el S.O y que no podrían prevenir la infección.
Allí recordó que en octubre recibió un boletín de seguridad sobre la actualización de los S.O Ms Windows y puso manos a la obra...

¿Saben como terminó la historia? La red se mantiene segura por que el Administrador fue eficiente y logró protegerla a tiempo. Entonces, el administrador realizó estas acciones preventivas:
1) Verificó cual era el fix que tenía que estar en todas las PC. Verificó el boletín de Microsoft e implementó rápidamente este fix en donde estaba ausente.
2) Implementó una solución de filtrado de contenido y antivirus a nivel de Gateway (en donde está el proxy o por donde salen todos los usuarios de la red Lan a Internet).
3) Restringió mediante una política de AD, quitandole los permisos de Administrador a los usuarios.
4) Desactivó el autorun o autoplay de los dispositivos USB y lectoras de CD/DVD.

El 1ro de abril, el Administrador de Red llegó a las 7:00 AM. y estuvo atento al teléfono, con cierto nivel de ansiedad, temiendo de algún llamado por parte de algún usuario que tuviera problemas con su PC. Pero nadie llamó por problemas de funcionalidad, solo llamo Doña Rosa, la secretaria del Director, que había olvidado su contraseña y si podía cambiarle la misma por una nueva.

MORALEJA:
- La prevención es la mejor ayuda.
- Mantener la plataforma actualizada previene incidentes de seguridad.
- Verificar las recomendaciones de Microsoft.

¿Cómo lo hizo?
El administrador, basándose en el boletín, tomó las siguientes acciones:

1) Implementó la actualización que recomienda MS que fue publicada en octubre. El malware se aprovecha de la mala administración de la plataforma. Recuerden, plataforma actualizada, plataforma segura.Si no recuerdan el boletín el mismo es el MS08-67.
Para encontrar cuales eran las Pc que no poseían el fix, utilizó el MBSA y rápidamente obtuvo la lista. El despligue lo hizo a través de un paquete con extensión MSI que generó y configuró las Group Policy del AD para hacer la distribución.
2) La versiones de Conficker necesitan de acceso a Internet. Para ello, puso una solución que solo permite acceder a sitios seguros, y que se complementan con antivirus. Si el código pasaba por allí, era interceptado.
3) El gusano requiere de permisos para moverse en el S.O. Utilizando las GPO, configuró las PC de riesgos y definió que los usuarios no deben ser adminsitradores locales. En esa misma definición, desactivó el uso de USB y desactivó el autorun o autoplay de las lectoras de CD/DVD.

Si quieren saber si su PC posee algún archivo infectado, pueden utilizar el MS Windows Live One Care.
Hicimos análisis del malware en nuestros laboratorios, examinando el comportamiendo del mismo, si el S.O posee la actualización recomendada es muy poco lo que puede hacer, por que esa es la manera adecuada de proteger el equipo. Les recomendamos:

- Si su S.O es Vista, no desactive el UAC (Control de cuentas del usuario).
- Tampoco desactive los firewall. Habilite los puertos que sean necesarios.
- Si un usuario requiere permiso de Administrador sobre una PC, asigne una cuenta y capacítelo para que sepa usarlo con el RUN AS... o Ejecutar como...
- Mantenga sus PC con el fix MS08-67 implementado.
- Suscribase en los boletines de seguridad de MS y no se deje influír por terceros (otros proveedores o medios). Microsoft publica información suficiente de como actuar en los diferentes casos.
- Bloquee puertos USB o lectoras de CD/DVD si los usuarios de los puestos de trabajo no requieren los mismos para su tareas diarias. Esto lo puede hacer por GPO.
- Verifique las recomendaciones de MS que figuran en el boletín MS KB962007.
- Por último, implemente MBSA y WSUS con el fin de asegurarse una plataforma actualizada. No deje de implementar las actualizaciones que son referidas como Windows Security.

Colorin Colorado...
Esta nota ha terminado...

Hasta la próxima

Enrique

viernes, 27 de marzo de 2009

Alerta de virus para el primero de abril

Estimados
Trend Micro ha enviado un reporte en base a los estudios realizados en su laboratorio sobre una variante del Conficker. La variante del conocido Conficker llamada WORM_DOWNAD.KK generará nuevos ataques el próximo 1 de Abril. Esta nueva variante es mucho más poderosa que su antecesor generado en Diciembre-Enero pasados.
Algunas de las nuevas características de esta amenaza son:

1)Acceso a nuevas URL, aproximadamente 500 solicitudes al mismo tiempo (cerca de 10 veces más que su antecesor). Dichos sitios los selecciona aleatoriamente de una lista de 500,000.
2)Deshabilita el inicio en modo a prueba de fallos (Safe Boot) de la máquina infectada.
3)Termina todos los procesos que contengan alguna de las siguientes cadenas:


autoruns avenger confick downad filemon gmer hotfix kb890 kb958
kido klwk mbsamrtmrstub ms08-06 procezp procmon regmon scct_
sysclean tcpview unlocker wireshark

Verificar su infraestructura, manteniendo la plataforma actualizada, firewalls activos y restricción de permisos de administrador local sobre los puestos locales.
Saludos

Enrique

Capacitación en Mexico


Estimados amigos
Hoy finalizamos la capacitación de Seguridad de la Información y Auditoria Informática. Desde ya agradezco lo bien que me hicieron pasar y espero que se mantenga el contacto entre todos.

Recuerden las recomendaciones de Seguridad, sobre las formas de encarar un proyecto y de como encara una auditoría.
Los invito a compartir contenidos de seguridad en este blog cuando quieran.
Mucha suerte!!!

Abrazo

Enrique Dutra

miércoles, 11 de marzo de 2009

A LA CAZA DEL CONFICKER

Estimados
Para saber que hace y como se comporta el malware, podemos ir a la biblioteca de Mcafee y allí encontraremos un detalle pormenorizado de las acciones del Conficker.
Ahora, dependemos de la actualización y del antivirus para evitar su despligue. ¿Podemos evitarlo con otras medidas? ¿Vimos el malware en acción?
Nosotros, ya lo tenemos aislado en una máquina virtual y estamos analizando su comportamiento. Con la actualización del Sistema Operativo logramos frenar su despliegue, pero el "software malicioso" necesita moverse y para ello necesita permisos.
¿Quienes se suman a verificar que permisos requiere, donde se mete, que medidas podemos tomar a parte de las conocidas? TE ESCUCHAMOS!!!!

Saber si tenemos un archivo infectado con el malware:
Si quieren saber si un archivo está infectado, para hacer pruebas, pueden subirlo a http://www.virustotal.com/es/. Allí les dirá que tipo de infección poseen en el mismo.


Nota: Malware es un termino utilizado para definir Software Malicioso (Malicius Software). La mayoría de los fabricantes de productos antivirus lo han denominado "gusano" por el comportamiento que posee.

Aqui seguiremos detallando proximamente novedades sobre este codigo malicioso que tiene preocupados a todos los administradores de IT.
A seguir investigando....

Actualizaciones de Seguridad de Marzo

Estimados
Notificamos de las actualizaciones cuando existen algunas que son importantes de bajar e instalar sobre la plataforma que administran.
Esta vez, se han publicado unas actualizaciones que son de importancia, por lo cual las destacamos en este boletín.

Actualización CRITICA
MS09-006: Actualización del kernel de Microsoft Windows que soluciona tres vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Al implementar esta actualización el S.O. va a requerir su reinicio.

Actualización IMPORTANTE
MS09-007: Actualización destinada a corregir una vulnerabilidad en Secure Channel (Schannel) de Windows que podría permitir a un atacante remoto la falsificación de certificados. Este tema lo vamos a tratar en próximas publicaciones, por que han surgido rumores o documentos sobre la vulnerabilidad del SSL.

MS09-008: Actualización para DNS y WINS que resuelve cuatro vulnerabilidades que podrían ser aprovechadas por un atacante remoto para falsificar respuestas y redirigir tráfico de Internet. Hay maneras de evitarlas por configuración, pero está actualización refuerza el nivel de seguridad de la plataforma. Este boletín reemplaza ya algunos existentes, por favor verificar los links y leer atentamente las recomendaciones.

Recuerden de verificar las actualizaciones mensuales, teniendo en cuenta, que el segundo martes de cada mes se publican las actualizaciones y los boletines.
Las actualizaciones permiten evitar problemas de seguridad, una vez públicos, deben tenerse en cuenta, por que los códigos maliciosos y los intrusos se aprovechan de la falta de procedimientos o actualizaciones para provocar fallos de seguridad en una plataforma. La prevención es el mejor remedio!!

Saludos

Quique

Recomiendo leer:
+ Guía paso a paso para empezar a trabajar con WSUS
+ Como funciona WSUS. Escenarios de WSUS.
+ Usar MBSA para ver el estado de la plataforma.

lunes, 23 de febrero de 2009

Buscando al intruso…Las pistas están en los Logs..(CAPITULO II)

Retomando el capítulo anterior, y pensando en la volatibilidad de los registros, vamos a trabajar sobre los Event ID más frecuentes que suelen provocar confusión al momento de analizar un visor de eventos de seguridad.
Primero, analizaremos el formato clásico de los registros en el visor de eventos. En este caso analizaremos el de inicio de sesión, ya que nos interesa rastrear el intruso:

Event ID: 576
Type:Success Audit/Failure
Description: Special privileges assigned to new logon:
User Name: %1......Domain: %2
Logon ID: %3........Assigned: %4

En donde tenemos:
%1 es usuario de active directory que se está logueando.
%2 Nombre Netbios del dominio de Active Directory.
%3 Logon ID del Usuario.
%4 Privilegios según los permisos asignados al usuario.

Siempre la pregunta es de donde accedió el intruso o la persona que estamos intentando rastrear. Si empezamos por los accesos de Internet, debemos empezar por los servicios publicados a Internet como accesos Web, FTP u otros.

Acceso vía Web.
Al publicar servicios Web con seguridad integrada, los servidores de Active Directory dejan registros en el los de seguridad. En este caso mostramos un ejemplo:

2/7/2009 5:47:44 PM Security Success Audit Logon/Logoff 540 DOMAINNAME\USERNAME NOMBRESERVIDORdeAD "Successful Network Logon:
User Name: USERNAME
Domain: DOMAINNAME
Logon ID: (0x0,0x5523DDCA)
Logon Type: 8
Logon Process: Advapi
Authentication Package: Negotiate
Workstation Name: SERVERNAME
Logon GUID: {82f8c9a8-a172-0dd6-3ac2-4db5eb870f44}
Caller User Name: SERVERNAME$
Caller Domain: DOMAINNAME
Caller Logon ID: (0x0,0x3E7)
Caller Process ID: 6820
Transited Services: -
Source Network Address: IPDesdeDondeseaccede
Source Port: puertoaleatorio

En el registro quedan rastros del usuario que accede, que son claros. Ahora, nos queda resolver que son los otros datos que ofrece el registro. El Logon Process: ADVAPI, Logon Type:8, que menciona el log, suceden cuando se accede a un recurso compartido o se loguea un usuario mediante el Microsoft IIS. El ADVAPI en este tipo de registro, es la palabra clave, ya que indica que es el proceso de logueo que usa el IIS, muy usado para dar acceso por las páginas con Web logons.

El tipo 8 indica que un logon de red ha usado en el envío de la contraseña texto claro, que suele venir protegido por el uso de SSL. Por lo cual, este acceso nos indica que el usuario ha sido validado por un acceso Web.
Suponiendo que el usuario posee cierto nivel de acceso y mediante alguna técnica de intrusión lograra borrar los logs de seguridad del servidor.
Aquí es donde la configuración del servidor juega un papel importante, ya que si el servidor de IIS posee habilitado el registro W3C Extended Log File Format (W3SVC1), contaremos con otro log que posee la misma información. Analizando el log del IIS buscando la información que acompañe al registro del visor de eventos, deberíamos encontrar un registro similar al siguiente

2009-02-07 17:47:44 W3SVC1 IPdelServer GET “pagina web” cmd=preview 80 DOMAINNAME\USERNAME IPDesdeDondeseaccede Proxy/6.5+Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1) 200 0 0

Estos logs son siempre ignorados por los intrusos y lo interesante que no se borran automáticamente, ya que se genera un nuevo archivo de registro cada día y permanecerán en el servidor hasta que deban ser eliminados. El formato del archivo es exfecha.log.

Continuará....

miércoles, 21 de enero de 2009

Buscando al intruso…Las pistas están en los Logs..(CAPITULO I)

Este artículo formará parte de tres entregas, en donde analizaremos los logs de seguridad de Ms Windows 2003/2008. Se tratarán los códigos que generan los eventos más frecuentes de la plataforma. Espero que los disfruten.

Introducción
En los servidores, se generan registros de las actividades de los servicios que están en modo de ejecución, accesos al servidor , ejecución de aplicaciones, y operaciones de seguridad en archivos con formato de texto, que a partir de ahora denominaremos LOGS. Los mismos son una fuente de información más que interesante cuando hay que buscar antecedentes sobre lo que está sucediendo en un servidor. La técnica más usual de los intrusos que invaden un sistema o intenta hacerlo, es de hacer limpieza de logs para borrar las huellas de un ataque o intento del mismo, tratando así que no sean detectados.
Muchas veces los intrusos piensan que borrando estos registros desde el visor de eventos de los sistemas operativos Ms Windows la evidencia digital ha sido eliminada. Pero no debemos olvidarnos, que si tenemos aplicaciones corriendo sobre el mismo, podremos encontrar los logs de la aplicación, que a su vez tendrá información sobre las actividades en el servidor, como por ejemplo los logs del Internet Information Services, cuando posee habilitado el log del W3SVC.El formato del archivo es W3C Extended Log File Format (W3SVC1).

En donde están las pistas?… ¿existen?
Evidencia, ¿Dónde está la evidencia?!!!, la palabra más usada y buscada cuando hay un incidente de seguridad. Se desea saber el ¿Cuándo? , ¿Cómo?, ¿Por dónde? ¿Quién?. Los registros que sirvan para dejar constancia de un incidente, lo denominaremos EVIDENCIA. Se recuerda que se deben seguir los procesos legales recomendados de cada país, si quieren usarse como prueba legal de un delito informático.
La evidencia existe si se ha configurado adecuadamente la plataforma para que dejen registros sobre las actividades. Por ejemplo, una carpeta compartida en la red, sobre el sistema de archivo NTFS, no genera auditoria a menos que se las habilite. Allí se podrá obtener información de accesos e incluso de usuarios que borran deliberadamente un archivo de esta carpeta si poseen los permisos.
En cuanto a los accesos, los sistemas operativos Microsoft, poseen información de acceso, tipo de actividad, e incluso desde donde se accede, pero muchas de esas cualidades deben ser habilitadas.



Volatibilidad
Uno de los graves problemas que presenta la evidencia digital, es que es volátil. Por ejemplo, los logs de MS Windows 2003, los registros de seguridad en el visor de eventos posee un tamaño de 16 Mb de manera predeterminada. En el caso de existir un nivel alto de auditoría, los mismos se sobrescriben y la evidencia se pierde. Adios a la prueba digital.
Obviamente, podemos tomar medidas para proteger los registros, como:
_____1)Configurar un tamaño acorde a la cantidad de registros que entran diariamente, con el fin de contar al menos con 4 días completos de registros.
_____2)Instalar una herramienta que recoja todos los registros y los guarde en un servidor. Por ejemplo el MOM 2005 o el System Center Operations Manager 2007, poseen esta cualidad, en donde podremos centralizar todos los logs de los servidores en una base de datos y realizar consultas de los registros en cualquier momento.

En la próxima entrega analizaremos los números mas frecuentes, que identifica cada código y que pasos seguir.
Hasta la próxima.

Quique

jueves, 15 de enero de 2009

Actualizaciones de Enero - Microsoft

Actualizaciones de Microsoft (ENERO)

Como practica habitual, Microsoft lanza sus actualizaciones planificadas, el segundo martes de cada mes. En este mes se ha publicado el boletin de seguridad MS09-001.

Esta actualización de seguridad resuelve dos vulnerabilidades en el protocolo del bloque de mensajes del servidor (SMB) de Microsoft de las que se ha informado de forma privada y una de forma pública. Las vulnerabilidades podrían permitir la ejecución remota de código en los sistemas afectados. Un atacante que aprovechara con éxito estas vulnerabilidades podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

Este parche sustituye al parche anterior (MS08-063) en todos los sistemas afectados. Para indagar más sobre esta vulnerabilidad, pueden visitar http://cve.mitre.org e indagar mas sobre esta vulnerabilidad, ubicando el documento técnico CVE-2008-4834.

Tengan en cuenta, que hay Malware que han surgido entre diciembre del año pasado y este mes que aprovechan la vulnerabilidad de la plataforma, por lo que se recomienda aplicar este parche.

En el enlace http://www.microsoft.com/spain/technet/security/Bulletin/ms09-001.mspx podrán acceder al documento publicado por Microsoft.

Saludos - Quique

Fuente: Microsoft.

miércoles, 7 de enero de 2009

Ser un auditor de seguridad y no morir en el intento!!

Estimados:
He recibido una buena cantidad de correos pidiendo información en base a los Webcast realizados en noviembre y diciembre sobre las auditorias de seguridad o de como verificar el nivel de seguridad de la plataforma. Por ello, les unifico en este artículo, los Webcast que supimos dictar en el 2008 referidos a este tema.
Espero que sean de su utilidad. Cada artículo posee la URL que los lleva al sitio de Microsoft donde están alojadas las grabaciones:

1) Hágalo Usted mismo: Auditorias de Seguridad. Parte1.
2) Hágalo Usted mismo: Auditorias de Seguridad. Parte2.
3) Descubre lo nuevo de MSAT 4.0.
4) Analiza la seguridad de tu red
5) Plataforma actualizada, plataforma segura
6) Conversa con el Auditor

Agradecido por los correos recibidos y espero verlos próximamente.
Hasta la próxima...

Quique

lunes, 5 de enero de 2009

CHECKPOINT PARTNER en CORDOBA!!

Estimados
Con mucho agrado les comentamos que Punto NET Soluciones SRL ha sido nombrado partner exclusivo de Cordoba de las soluciones CHECKPOINT, dado que hemos cumplido con los requisitios de la marca.
Esta marca posee excelentes soluciones de VPN y Firewall. Dentro de los equipos, tenemos para oficinas pequeñas (Safe@Office), medianas (UTM Edge) y grandes (UTM-1).
Los mismos proveen soluciones de antivirus a nivel de gateway, IPS, URL Filtering entre otra soluciones.
Para más información acceder al sitio www.checkpoint.com.
Saludos

Quique Dutra

Año Nuevo...Gusano nuevo... WORM_DOWNAD.AD

Estimados:
En las últimas horas se ha recibido reportes de detección de una nueva variante de WORM_DOWNAD. Esta nueva variante es detectada por TREND MICRO bajo el nombre de WORM_DOWNAD.AD
Algunas de las características a destacar de este nuevo código malicioso es la capacidad de utilizar una reciente vulnerabilidad de Microsoft (MS08-067) para propagar su código a través de la red utilizando el puerto TCP/445 en múltiples conexiones tanto a nivel de LAN como a Internet.

Por otro lado, uno de los síntomas más evidentes que provoca es el bloqueo de cuentas de usuarios de Active Directory, debido a que intenta conectarse a recursos compartidos ADMIN$ de la LAN probando un diccionario de passwords frecuentes; así como también, es posible detectar la caída del servicio Server.

Según lo mencionado arriba, los síntomas más comunes podemos resumirlos en tres puntos:
1) Las cuentas de usuarios de AD están bloqueadas: los usuarios no se pueden loggear a la sesión de Windows.
2) Algunos servicios de Windows Server son detenidos súbitamente.
3) Ataques al puerto 445 y otros puertos aleatorios como 40000 y 40400.


Las recomendaciones son:

1) Mantener la plataforma actualizada según el documento técnico (MS08-067).
2) Verificar que la plataforma de antivirus esté actualizada.
3) Verificar que los equipos tengan configurado adecuadamente el firewall.

En la proxima entrega, les mostraremos como realizar un despliegue efectivo y rápido de esta actualización de Microsoft.

Saludos

Enrique

PD: se agradece a Trend Micro y a GFI por el aporte de la información para este artículo.