Archives agosto 2020

Si bien muchos lectores ya saben qué es un honeypot, pensando en aquellos que no han implementado el uso de esta herramienta y lo útil que puede ser para los administradores de sistemas a la hora de mejorar la seguridad de la red, consideramos oportuno aprovechar la celebración del día del SysAdmin para explicar qué es un honeypot, qué tipos de honeypot existen y cómo recolectar información sobre los ataques que recibe este sistema para luego procesarla y tomar decisiones que permitan mejorar la seguridad de una red.

Qué es un Honeypot y cómo implementarlo en nuestra red

Un honeypot es un sistema que podemos configurar en nuestra red con el objetivo de registrar los ataques que éste recibe y que nos puede servir como una alerta temprana para prevenir otros ataques en la red, para saber si somos blanco de algún tipo de ataque o para entender mejor el panorama al que nos enfrentamos. Además, nos permite obtener la procedencia de las amenazas que existen y las técnicas a las cuales nos podemos enfrentar.

Un honeypot es un sistema de señuelo en la red, por lo tanto, no hay razón legítima para que los usuarios de una organización intenten acceder a él, lo que hace que sea mucho más fácil detectar ataques, ya que prácticamente cualquier interacción con el equipo puede ser considerada maliciosa. La idea mediante la implementación de este sistema es hacerle creer a un atacante que está apuntando a un sistema real, sin embargo, estará desplegando sus actividades maliciosas en un ambiente controlado por nosotros.

Podemos implementarlos en el interior de nuestra red (delante del firewall externo), que puede servir para indicarnos que un atacante ya obtuvo acceso a nuestra red y está intentando realizar un movimiento lateral o bien, en el exterior de nuestra red, para detectar ataques externos. Por otra parte, podemos tener varios honeypot instalados en nuestra red y conformar lo que se conoce como un honeynet.

Qué tipos de honeypot existen

• De interacción alta

Es un servidor que posee servicios reales instalados, al igual que cualquier otro servidor en la organización. Debemos tener cuidado de que esté perfectamente aislado del resto de la red para impedir que un ataque exitoso finalmente le de acceso a la red al atacante. La información que se genera en este sistema es sumamente detallada. Además, es más difícil que un atacante pueda darse cuenta de que está siendo engañado y que se dirige hacia nuestra “trampa”. En este tipo de honeypot podemos implementar nuestras propias herramientas, como podría ser un servicio HTTP que obtenga el fingerprint -o huella- del atacante para identificar de forma única al equipo del que proviene la amenaza.

• De interacción media

Tiene algunos servicios básicos, como puede ser un servidor web o FTP, que se pueden programar para dar algún tipo de respuesta al atacante; por ejemplo, devolver un banner del servicio. Más allá de la respuesta básica, los servicios no son reales —emulan servicios reales— por lo tanto, el atacante no puede obtener acceso al sistema. La información que se genera en este tipo de honeypot es considerablemente menor que en un honeypot de alta interacción, pero son más fáciles de mantener e implementar.

• De interacción baja

Simula solo algunos servicios de red básicos, como la conectividad TCP/IP, ICMP, NetBIOS, etc. La información que podemos recolectar de este tipo de Honeypot es mucho más escasa, básicamente solo podremos saber si alguien está escaneando la red, pero no podremos obtener más información sobre las técnicas o las intenciones detrás de dicha acción. Su implementación en la red es mucho más segura, aunque, por otro lado, un atacante experimentado podría darse cuenta de que el equipo es un señuelo y abandonar sus planes.

Opciones para la recolección de información valiosa

De nada serviría la implementación de un honeypot en la red si no recolectamos la información que éste genera y la utilizamos para fines productivos. Según el Reporte de Data Breaches del 2017 elaborado por Verizon, un atacante permanece, en promedio, 149 días en nuestra red antes de que su actividad sea detectada. El análisis de la información generada en un honeypot interno puede ayudarnos a reducir este tiempo. Esta información debería servirle al equipo de respuesta ante incidentes o al SOC de la organización para implementar los controles o mitigaciones apropiadas.

• Integración con él EDR corporativo: El honeypot puede estar integrado al EDR corporativo, idealmente de forma separada para no contaminar las alertas provenientes de los sistemas reales de la red. La ventaja de utilizar un EDR, como el que ofrece ESET a través de su herramienta Enterprise Inspector, es que podremos analizar la mecánica de los ataques de forma más rápida y sencilla.
• Integración con sistemas IDS: Podemos implementar un IDS como Suricata (software libre) para generar alertas automatizadas cuando nuestro honeypot sufra algún tipo de ataque.

• Análisis manual: Otra opción es recolectar la información y generar reportes de forma manual, o con herramientas desarrolladas “in-house” que sirvan a las necesidades específicas de la organización.

T-Pot

T-Pot es un desarrollo de código abierto que combina honeypots de baja y alta interacción en un único sistema. Su implementación es bastante sencilla (no debería tomar más de 30 minutos en desplegarse) y nos permite emular servicios de red como Android ADB, hardware de red vulnerable como routers, SCADA, SSH, Telnet, DICOM, Elasticsearch, FTP, RDP, HTTP/S, postgreSQL, MSSQL, POP3, SMTP, SMB, entre otros.

Si bien lo ideal es crear un honeypot personalizado con los mismos servicios que se prestan en nuestra red y nada más, T-Pot es una forma más rápida y sencilla de desplegar un honeypot si no poseemos el tiempo o los recursos para desarrollar uno propio. Además, puede ser configurado de acuerdo con las necesidades específicas de la organización.

Una de las ventajas es que provee una interfaz gráfica para visualizar la información generada de forma sencilla y generación de reportes. Puede ser desplegado tanto en máquinas físicas como virtuales.

Conclusión

Un honeypot es una herramienta poderosa que un administrador de red o encargado de seguridad puede implementar para descubrir posibles amenazas, capturar muestras de malware, generar una alerta temprana sobre un ataque y para conocer las técnicas que los atacantes pueden utilizar contra la organización.

Fuente : www.welivesecurity.com

systemd es el init de la discordia que ha dividido a la comunidad de usuarios de GNU/Linux. Sus defensores argumentan que es un instrumento que permite aprovechar al máximo el potencial del sistema operativo y elogian su enfoque modular, mientras que sus detractores lo acusan de quebrantar la filosofía Unix y de ser un “Windows gratis”, y posiblemente para muchos así sea a partir de hoy viendo lo que trae la reciente versión 246 del init. Con todo, es el init utilizado por la gran mayoría de distribuciones Linux.

Sí, systemd 246 ya está con nosotros con al menos un par de contribuciones relacionadas con Microsoft, la compañía detrás de Windows, Microsoft Office, el framework .NET y el popular editor de código Visual Studio Code. Pero además de mencionar lo que podrían ser las partes más morbosas de este lanzamiento (por quién está detrás de algunas contribuciones), también abarcaremos otras novedades de interés.

Para empezar, de systemd 246 sobresale el hecho de que systemd-journald soporta comprensión mediante Zstd para los ficheros journal del init, cosa que se ha implementado de forma similar para los coredumps recolectados por systemd-coredump. Por su parte, los montajes Tmpfs que son creados automáticamente por systemd tienen ahora un tamaño y límites de inodo aplicados, de un 50% de la RAM para ‘/tmp’ y ‘/dev/shm’ y de un 10% de la RAM para otros montajes.

systemd-homed es una de las incorporaciones más interesantes que ha recibido el init (o framework de sistema, según se vea) en los últimos tiempos, y aunque para algunos puede resultar intrusivo, es un componente que ayuda a facilitar la administración segura del directorio personal del usuario. A partir de systemd 246 el backend de LUKS puede descartar automáticamente los bloques de sistema vacíos cuando el usuario cierra la sesión, además de ofrecer una mejor protección contra los potenciales escenarios de doble cifrado de datos y soportar el desbloqueo de los directorios de usuario utilizando tokens de seguridad FIOD2.

Continuamos, ahora sí, con la parte “polémica” de este lanzamiento, las contribuciones relacionadas con Microsoft. Por un lado, el propio gigante de Redmond ha introducido un cambio que permitirá exponer parte de la información de la máquina anfitriona a los contenedores, mientras que por otro systemd-cryptsetup puede a partir de la versión del init que nos ocupa activar volúmenes de Microsoft BitLocker durante el arranque.

¿Qué más hay en systemd 246? Pues nos encontramos con cosas como el nuevo comando systemd-xdg-autostart-generator para generar archivos de unidad de systemd a partir de ficheros de inicio automático XDG con extensión ‘.desktop’, que también puede “ser usado para permitir que la instancia de usuario systemd administre servicios que son inciados automáticamente como parte de la sesión de escritorio”. A partir de este lanzamiento el nombre del host (hostname) puede ser establecido en el momento del arranque con la opción del kernel ‘systemd.hostname=’ y hay nuevas opciones para la línea de comandos del kernel como ‘systemd.swap=’ para alternar en caso de que la SWAP esté habilitada y ‘systemd.clock-usec=’ para especificar el tiempo de Unix en el arranque.

systemd-networkd ha recibido algunas mejoras, al igual que systemd-resolved, que ahora tiene validación de SNI para el soporte de DNS-over-TLS. Para terminar, otras novedades destacadas son la posibilidad de avisar de los procesos que quedan en una unidad después de que esa unidad se haya detenido, soporte básico para el congelador de cgroup v2 y PID1 puede cargar automáticamente las políticas de AppArmor precompiladas durante el arranque temprano.

El init suele ser un componente un tanto ajeno para el usuario común, que lo ve simplemente como un medio para hacer funcionar el sistema operativo. Así que la llegada de systemd 246 no es algo que importe a la mayoría, salvo ciertos usuarios avanzados, administradores de sistema y a aquellos con “versionitis”. Ya se sabe, una rolling como Arch Linux es la vía más sencilla para hacer uso de él si no se quiere pasar por el tortuoso proceso de la compilación.

Fuente: www.muylinux.com

Ya está nosotros digiKam 7.0, la nueva versión mayor de la suite fotográfica ligada al proyecto KDE y una de las aplicaciones más destacadas dentro de su segmento entre las que dan soporte a GNU/Linux (aunque es multiplataforma).

digiKam 7.0 viene cargada de novedades interesantes que ayudarán a la suite a ganar impulso y presencia. Para empezar, sobresale la incorporación del aprendizaje profundo para la gestión de las caras. La introducción de esta característica ha necesitado de varios años de trabajo y de tragarse algunos fiascos, pero parece que en esta versión ha podido ser activada por defecto.

Los encargados de digiKam explican que la implementación del aprendizaje profundo para el reconocimiento de las caras deriva de la reconstrucción de un código de 2017 creado por un estudiante llamado Yingjie Liu, quien consiguió integrar redes neuronales para la gestión de rostros tomando como base la biblioteca Dlib. Sin embargo, aquel trabajo estaba en una fase muy experimental y ofrecía un rendimiento pobre, por lo que su incorporación a nivel de producción fue descartada.

Tras el fiasco de hace tres años, otro programador estudiante llamado Thanh Trung Dinh ha cogido el código de 2017 y lo ha reescrito por completo para que por fin sea usable en digiKam 7.0. Los encargados de la suite explican que “el nuevo código, basado en las características recientes de la red neuronal Profunda de la biblioteca OpenCV, utiliza redes neuronales con modelos de datos aprendidos previamente dedicados a la gestión de las caras. Hemos ahorrado tiempo de codificación, velocidad de tiempo de ejecución y mejorado la tasa de éxito, que alcanza el 97% de los verdaderos positivos. Otra ventaja es que es capaz de detectar rostros no humanos, como los de perros.”

El modelo de red neuronal empleado por digiKam 7.0 también es capaz de detectar caras borrosas, cubiertas, de perfil, impresas y parciales, todo con un bajo nivel de falsos positivos. El usuario tendrá que enseñar a la red neuronal con la indicación de algunas caras para que luego la aplicación pueda reconocerlas automáticamente en la colección.

La otra novedad importante de digiKam 7.0 es la mejora del soporte de imágenes RAW procedentes de más cámaras de fotos digitales, entre las que se encuentran modelos de Canon, FujiFilm, Olympus y Sony. Debido a que el formato RAW, al contrario de JPEG, no está estandarizado, el soporte por parte de las aplicaciones no resulta igual de sencillo, lo que ha provocado que existan aplicaciones de imágenes RAW que solo abarcan unas cámaras específicas.

El soporte para el formato de imágenes HEIF, que fue incorporado en la versión 6.4 de la suite, también ha sido mejorado. Según cuentan los responsables de digiKam, “HEIF es un formato de archivo para imágenes individuales y secuencias de imágenes. El grupo MPEG afirma que se puede almacenar el doble de información en una imagen HEIF que en una imagen JPEG del mismo tamaño, lo que da como resultado una imagen de mejor calidad. HEIF también soporta animación y es capaz de almacenar más información que un GIF animado a una fracción del tamaño. La compresión en HEIF está delegada en un códec adicional y actualmente x265 está soportado.”

Terminamos mencionando la adición del soporte de Microsoft Visual C++ a través de un flujo de trabajo dedicado de Integración Continua para compilar todo el código con dicho compilador. La intención es publicar en un futuro una versión oficial de digiKam en la tienda oficial de aplicaciones para Windows.

digiKam 7.0 puede ser obtenida para GNU/Linux (AppImage para 32 y 64 bits), Windows y Mac a través del sitio web oficial de la suite, si bien de forma alternativa se puede esperar a que llegue a KDE neon o a través de alguna distribución rolling release. En estos momentos en Fedora 32 se puede encontrar una versión beta de la misma versión.

Fuente: www.muylinux.com

Nueva York (CNN Business) — Microsoft dice que todavía está discutiendo una posible compra de TikTok, días después de que el presidente Donald Trump dijo que prohibiría que la popular aplicación de video de formato corto opere en Estados Unidos.

En una publicación de blog el domingo, Microsoft dijo que su presidente ejecutivo, Satya Nadella, habló con Trump sobre la compra de la aplicación, que es propiedad de la nueva empresa china ByteDance. Los formuladores de políticas estadounidenses han expresado durante semanas su preocupación por la aplicación a medida que aumentan las tensiones entre Estados Unidos y China, y muchos afirman que podría representar un riesgo para la seguridad nacional.

«[Microsoft] se compromete a adquirir TikTok sujeto a una revisión de seguridad completa y proporcionar los beneficios económicos adecuados a Estados Unidos, incluido el [Departamento del] Tesoro de Estados Unidos», dijo la compañía, y agregó que «se moverá rápidamente» para hablar con ByteDance «en cuestión de semanas».

«Durante este proceso, Microsoft espera continuar el diálogo con el Gobierno de Estados Unidos, incluso con el presidente», agregó la compañía.

La publicación en el blog de la firma con sede en el estado de Washington sugiere que TikTok podría evitar el bloqueo con el que Trump amenazó el viernes por la noche, cuando dijo que podía usar poderes económicos de emergencia o un decreto para bloquear el funcionamiento de la aplicación en Estados Unidos. Los comentarios de Microsoft también se producen después de que el diario financiero The Wall Street Journal informara que las conversaciones de la compañía con ByteDance se habían suspendido después de los comentarios de Trump.

Un acuerdo crearía una nueva estructura en la que Microsoft sería propietario y operaría los servicios de TikTok en Estados Unidos, Canadá, Australia y Nueva Zelandia. Como parte del acuerdo, Microsoft dijo que garantizaría que todos los datos privados de los usuarios estadounidenses de TikTok fueran transferidos y permanecieran en Estados Unidos.

TikTok ha enfatizado previamente que sus datos de usuarios de Estados Unidos ya están almacenados en servidores con sede en ese país y están respaldados en Singapur, y por lo tanto no están sujetos a la ley china, como algunos funcionarios estadounidenses han temido.

«Esta nueva estructura se basaría en la experiencia que los usuarios de TikTok adoran actualmente, a la vez que agrega protecciones de seguridad, privacidad y seguridad digital de clase mundial», dijo Microsoft. «El modelo operativo para el servicio se construiría para garantizar la transparencia a los usuarios, así como la adecuada supervisión de la seguridad por parte de los gobiernos en estos países».

La compañía agregó que «en cualquier caso» terminaría de hablar con ByteDance a más tardar el 15 de septiembre.

ByteDance no respondió de inmediato a una solicitud de comentarios sobre la publicación de Microsoft. Pero la compañía dijo en un comunicado publicado el domingo en Toutiao, el sitio chino de medios sociales que posee, que «siempre se ha comprometido a convertirse en una compañía global».

«En este proceso, nos enfrentamos a todo tipo de dificultades complejas e inimaginables», agregó la compañía citando un «ambiente político internacional tenso», entre otros temas.

«Pero aún nos adherimos a la visión de la globalización y seguimos aumentando la inversión en los mercados de todo el mundo, incluida China, para crear valor para los usuarios de todo el mundo», dijo ByteDance. «Cumplimos estrictamente las leyes locales y utilizaremos activamente los derechos que nos otorga la ley para salvaguardar los derechos legales de la empresa».

TikTok no respondió de inmediato a una solicitud de comentarios el domingo por la noche, pero un portavoz de TikTok dijo en un comunicado a CNN Business el sábado que está «confiado en el éxito a largo plazo» de la aplicación. La compañía ha contratado a casi 1.000 personas para su equipo estadounidense este año y planea contratar a otros 10.000 empleados en todo Estados Unidos, dijo el vocero. También anunció recientemente un «Fondo de creadores» para atraer a los mejores talentos para crear contenido para la aplicación.

Beijing, mientras tanto, criticó a Washington después de que Trump hablara sobre el bloqueo de la aplicación.

«Estados Unidos ha estado estirando el concepto de seguridad nacional, sin ninguna evidencia, y solo basado en la presunción de culpa. Está amenazando a ciertas empresas», dijo el lunes el portavoz del Ministerio de Relaciones Exteriores, Wang Wenbin, a periodistas. «China se opone firmemente a esto».

TikTok podría ser el «socio adecuado en el momento adecuado» para Microsoft, según el analista de Wedbush Securities Daniel Ives, quien fijó la valoración de la aplicación en aproximadamente US$ 50.000 millones. (Añadió, sin embargo, que el valor de TikTok podría verse afectado considerablemente si se bloquea en Estados Unidos).

Ives agregó que si la venta es exitosa, Microsoft también recibiría una «joya de la corona» en las redes sociales en un momento en que los pares de tecnología como Alphabet, el padre de Facebook y Google se enfrentan a un escrutinio regulatorio, lo que les dificulta considerar TikTok.

Fuente: cnnespanol.cnn.com

WhatsApp está trabajando en una nueva función para dar la opción a los usuarios de silenciar las notificaciones de chats para siempre. Foto: Pxfuel

Ocho horas, una semana y un año. Esas son actualmente las opciones que tiene el servicio de mensajería instantánea WhatsApp para quienes deseen silenciar chats individuales o grupales. Sin embargo, esto podría cambiar próximamente, pues la plataforma planea implementar la posibilidad de desactivar «para siempre» las notificaciones de ciertos chats. Según informa el portal especializado en las actualizaciones de WhatsApp, Wabetainfo, esta es una de las modificaciónes que WhatsApp presentó al programa Google Play Beta para la versión 2.20.197.3 el pasado 28 de julio del 2020.

Por ahora, está previsto que la opción esté disponible únicamente en dispositivos con sistema operativo Android. La función, asegura el portal, está en desarrollo, lo que quiere decir que WhatsApp trabaja para mejorarla antes de liberarla al público en general. El hecho de que una persona no pueda acceder a la posibilidad de silenciar las conversaciones indefinidamente no representa un problema o fallo en el servicio de mensajería.

La función de silenciar los grupos para siempre reemplazará a la actual de un año. Foto: captura.