Trabajo – Cristian Menghi

Construyendo el sistema inmunológico digital de tu organización

17 marzo, 202617 marzo, 2026 cristian Deja un comentario

En un mundo donde las brechas de seguridad son noticia casi todos los días y los ataques son cada vez más sofisticados y coordinados, depender de soluciones aisladas o estrategias meramente reactivas es como intentar salvar al Titanic con un pequeño balde.

A nivel global, se estima según firmas de cybersecurity ventures que el impacto del cibercrimen crecerá de 9,22 billones USD en 2024 a 13,82 billones en 2028. ^{1,2,3}

Pero no hace falta mirar tan lejos: en Uruguay, los incidentes de ciberseguridad crecieron un 65% en 2024, y en el primer semestre de 2025 se registraron 17.015 casos. ^{4,5,6} Hubo filtraciones masivas en organismos públicos y privados, con grupos locales e internacionales que actúan cada vez con más recursos.

Pero lo más alarmante es la falta de preparación: más de 150 mil organizaciones nunca evaluaron su nivel de seguridad, y el 85% no tiene políticas documentadas. ^7 Mientras tanto en 2024, los intentos de fraude afectaron a casi un millón de usuarios. La ciberseguridad moderna ya no se trata de apagar incendios, sino de tener un sistema integrado donde cada parte cumpla su rol como en una orquesta bien afinada.

Los escudos que separaron a las empresas hackeadas de las que no.

La experiencia muestra que una estrategia meramente reactiva (SOC, etc) no es suficiente en el mundo actual. Usualmente cuando cuando un incidente es identificado el daño y el impacto al negocio ya está hecho. Por este motivo se deben abordar estrategias que permitan un monitoreo más proactivo de los riesgos a los que se exponen las organizaciones. De esta forma establecer un enfoque que reduzca estos en los ambientes de producción, tanto a nivel de infraestructura (patch management) como de las aplicaciones que se ejecutan en dichos ambientes.

Esto nos lleva al concepto de Postura de Seguridad (Security Posture) de una organización, donde se unifican los distintos indicadores de riesgo con el objetivo de tener una visión holística del riesgo organizacional. Así se construye un ciclo de mejora continua, donde los riesgos se evalúan en base al impacto real en el negocio, la probabilidad de explotación y la criticidad de los activos. Ya no se trata de recibir miles de alertas sin contexto: se trata de tener información útil para actuar rápido y con foco.

Para la construcción de los indicadores asociados a la Postura de Seguridad, suele implementarse un esquema de Cybersecurity Exposure Management (CEM) que esta basado en tres pilares fundamentales y que deben trabajar de forma coordinada son: Company Security Posture, Application Security Posture e Infrastructure Security Posture. Cada uno cumple un rol distinto, pero su verdadero poder aparece cuando todos funcionan en coordinación, alimentando al CEM con información crítica.

Company security posture: el director de orquesta

La postura de seguridad corporativa traduce métricas técnicas en información comprensible para la alta dirección, de modo que las decisiones sobre inversiones en seguridad no dependan del conocimiento técnico de los directivos, sino de tener buena información.

Este componente consolida la información de todas tus herramientas y actividades para lograr una visión única del estado de la seguridad de la organización. Son tus dashboards, tu consola de comandos desde la que podemos ver la situación de seguridad y disparar acciones automatizadas o manuales.

Application security posture

Las aplicaciones son el corazón de cualquier organización moderna. Desde el sistema de sueldos hasta la app que usan tus clientes, todo pasa por software.

El Application Security Posture Management (ASPM) se encarga de mantener esas aplicaciones seguras a lo largo de todo su ciclo de vida. Monitorea vulnerabilidades en el código, las APIs, las dependencias y las configuraciones.

Si lo de Log4Shell en 2021 nos pareció grave, 2024 nos dio una lección más dura: el backdoor identificado en la librería XZ^{15} que afecto a miles de aplicaciones que la incluían como parte de su código, incluso aplicaciones de seguridad (ej: ssh) fueron afectadas por este problema. Una sola vulnerabilidad en la cadena de suministro puede tener consecuencias enormes. ASPM existe justamente para prevenir estos escenarios y/o acelerar su resolución.

Infrastructure security posture

Si las aplicaciones son el corazón, la infraestructura es el esqueleto que sostiene todo. La mayor parte de la vida de una aplicación transcurre en un ambiente productivo ofreciendo los servicios para la que fue creada, y la seguridad de la organización queda definida por la íntima interacción entre la infraestructura y las aplicaciones. Por eso, verlos como elementos independientes o inconexos no es el mejor enfoque.

Gestionar la seguridad de servidores, redes y software de base, tanto en la nube como on-premise, en conjunto con las vulnerabilidades de las aplicaciones nos permite una mejor gestión de los riesgos, reduciendo la probabilidad de incidentes de seguridad.

En la era del «todo en la nube», donde una empresa puede tener recursos distribuidos entre AWS, Azure, Google Cloud y su propio datacenter, mantener una infraestructura bien protegida es indispensable.

El caso Snowflake lo deja claro: el grupo UNC5537 accedió usando credenciales robadas que llevaban años circulando en la dark web. Sin autenticación multifactor, lograron comprometer millones de registros. Todo por una brecha básica que podría haberse evitado.

Cybersecurity exposure management: la visión consolidada

A partir de los resultados de los elementos antes mencionados, se integra toda esa información en el Cybersecurity Exposure Management (CEM) lo que habilita una gestión integral de nuestra Postura de Seguridad. El CEM es el motor que nos permite identificar, evaluar y priorizar riesgos en toda la organización.

Opera en cinco pasos claves: alcance, descubrimiento, priorización, validación y movilización. Escanea y evalúa riesgos continuamente, pero lo verdaderamente importante es que prioriza en función del contexto del negocio, no solo de la gravedad técnica. Una vulnerabilidad crítica en un sistema de desarrollo interno no pesa igual que una en la plataforma que procesa miles de transacciones por hora.

Los beneficios, de apagar incendios a prevenirlos

La diferencia entre una empresa que sufre brechas constantemente y una que mantiene su seguridad bajo control no es el presupuesto: es el enfoque. Este ecosistema integrado transforma la seguridad de reactiva a proactiva, y los beneficios son inmediatos y medibles.

Anticiparse en lugar de remediar

Imaginate este escenario: tu equipo de desarrollo lanza una nueva funcionalidad al e-commerce un viernes por la tarde. El lunes descubres que la actualización incluía una librería con una vulnerabilidad crítica que ya está siendo explotada en la web. Ahora tenés que hacer rollback en producción, con clientes comprando en tiempo real, perdiendo ventas y credibilidad.

Con un ecosistema integrado, esto no sucede. El Application Security Posture Management escanea automáticamente las dependencias antes del despliegue. Si detecta algo sospechoso, bloquea el paso a producción y alerta al equipo: Crisis evitada antes de que ocurra.

Ejemplo práctico: El caso de Equifax en 2017 ilustra perfectamente por qué el enfoque proactivo salva empresas. La brecha expuso información de 147 millones de personas debido a una vulnerabilidad conocida en un componente open-source (Apache Struts) que no fue parcheada a tiempo. El resultado: la compañía perdió $4 mil millones en valor de mercado y gastó más de $1.4 mil millones en costos post-brecha. Una estrategia ASPM efectiva habría identificado automáticamente esa dependencia vulnerable en producción y priorizado su remediación antes de que los atacantes la explotaran. $ 1.4 mil millones es la diferencia entre ser proactivo o reactivo.

Priorización inteligente basada en la realidad operativa

No todas las vulnerabilidades son iguales, aunque tengan el mismo puntaje CVSS. Una vulnerabilidad crítica en tu sistema de desarrollo interno no tiene el mismo impacto que la misma vulnerabilidad en tu plataforma de pagos que procesa 10,000 transacciones diarias y esta expuesta a internet.

El problema tradicional: tu escáner te arroja 2,347 vulnerabilidades. ¿Por dónde empezar? La mayoría de las empresas se ahogan en alertas y terminan ignorándolas todas o priorizando mal.

El enfoque integrado hace algo diferente, cruza datos técnicos con contexto empresarial real. Evalúa:

¿Está este sistema expuesto a internet o es interno?
¿Procesa datos sensibles de clientes o información pública?
¿Qué impacto tendría en el negocio si se compromete?
¿Existen exploits activos circulando?
¿Qué tan crítico es para nuestras operaciones diarias?

Un ejemplo, Caso de Kenna.VM/Cisco: Una empresa Fortune 500 del sector healthcare enfrentaba desafíos de gestión de vulnerabilidades: «demasiadas vulnerabilidades sin forma efectiva de priorizarlas» y «alto volumen de datos de seguridad sin contexto para toma de decisiones». Después de implementar Kenna.VM (ahora Cisco Vulnerability Management), la empresa pudo priorizar vulnerabilidades basándose en riesgo real, permitiendo a sus equipos de remediación enfocarse en lo que verdaderamente importaba. ^8

Minimizar riesgos sin pisar el freno

El miedo de muchas organizaciones es este: «más seguridad = menos velocidad». Pero está ampliamente demostrado que es todo lo contrario: seguridad integrada significa despliegues más seguros y más rápidos.

Cómo funciona en la práctica:

Pre-producción: Antes de que el código llegue a producción, ya pasó por múltiples validaciones automáticas. No es un cuello de botella: son verificaciones en segundos que se ejecutan en paralelo al proceso de CI/CD.
Visibilidad continua en producción: Una vez desplegado, el monitoreo continuo detecta cambios de configuración riesgosos o nuevos vectores de ataque que emergen. Si aparece una nueva vulnerabilidad en una librería que usas, lo sabes inmediatamente y recibes un plan de remediación priorizado.
Respuesta coordinada: Cuando se detecta algo crítico, no hay reuniones interminables para decidir qué hacer. Los playbooks automatizados ya están definidos: el sistema aísla el componente afectado, notifica a los equipos relevantes con información contextual y sugiere el fix específico.

Por ejemplo, según Radixweb, una empresa que adoptó DevSecOps pasó de ~4 despliegues al mes a ~10+ al mes y redujo los incidentes de seguridad en producción en ~82 %. ^9 Otros estudios muestran que organizaciones con pipelines automatizados logran ~12 despliegues por semana y tasas de fallos de cambio ~5 %. ^{10}

Equipos enfocados en lo importante

Quizás el beneficio más subestimado es liberar a tu equipo de seguridad del infierno de las tareas manuales repetitivas. En lugar de revisar manualmente miles de alertas falsas, pueden enfocarse en:

Modelar amenazas específicas para tu industria
Diseñar arquitecturas seguras para nuevos proyectos
Educar a equipos de desarrollo en prácticas seguras
Planificar estratégicamente cómo defender contra amenazas emergentes

Un ejemplo práctico: Antes de implementar un ecosistema de seguridad integrado, el equipo dedicaba gran parte de su tiempo —casi dos tercios de la jornada— a tareas manuales de triado de alertas, validación de falsos positivos y coordinación entre herramientas aisladas.

Con la automatización y la consolidación de fuentes de datos en una sola plataforma, el volumen de trabajo repetitivo se redujo drásticamente. Hoy, apenas un 15 % del tiempo del equipo se destina al triado inicial; el resto se aprovecha en actividades de mayor valor: entrenar a desarrolladores, mejorar la documentación de seguridad, ejecutar pruebas proactivas y diseñar estrategias defensivas más efectivas.

El resultado es doble: una postura de seguridad más madura y resiliente, y un equipo menos saturado y más motivado, que trabaja con foco en la prevención en lugar de apagar incendios. Diversos estudios y casos de implementación respaldan este tipo de mejora. Por ejemplo, Shield53 reportó una reducción del tiempo de triado de alertas a menos de 4 horas por turno tras automatizar procesos (Dropzone AI, 2024). ThreatQuotient documentó un 93 % de ganancia en eficiencia en la gestión de alertas, gracias a la automatización y el contexto compartido (ThreatQuotient ROI Whitepaper, 2023). A nivel académico, investigaciones como “Improved Detection and Response via Optimized Alerts” (Capitol Technology University, MDPI 2022) destacan que los analistas de seguridad invierten entre 40 % y 60 % de su tiempo en tareas de triado manual, lo que evidencia el impacto de la automatización para liberar capacidad y mejorar la moral del equipo.

ROI medible

Las organizaciones que integran automatización de seguridad en sus pipelines y operaciones (detección → análisis → contención → prevención) reportan mejoras medibles: reducción del tiempo de respuesta a incidentes (algunos estudios indican reducciones de hasta ~90 % en MTTR). ^{11}
También se observa una disminución de ruido y falsos positivos — por ejemplo, una entidad financiera redujo su volumen de alertas un ~85 % tras adoptar IA-alertas. ^{12} En términos de costo evitado, el promedio global de una brecha ronda los USD 4.88 millones. ^{13}
Y en cuanto a eficiencia operativa, las guías de automatización indican mejoras del “500 % en capacidad de procesamiento de eventos” y “reducciones de 40-60 % en personal de seguridad” como resultado de la automatización y orquestación. ^{14}

Por tanto: integrar los silos de seguridad y automatizar no es solo una cuestión de organización elegante — es un imperativo para defender organizaciones modernas que operan a la velocidad del negocio digital.

En resumen

Hoy, la pregunta ya no es si te van a atacar, sino cuándo. Por eso, adoptar un ecosistema de seguridad integrado no es un lujo, es construir el sistema inmunológico digital de tu organización. Para esto no podemos únicamente reaccionar después de haber sido atacados, si no que vamos a prevenir que esto ocurra, y el camino mas adecuado implica reducir las vulnerabilidades y riesgos de los sistemas sensibles para evitar que los atacantes encuentren fisuras por donde comprometer nuestra organización. Porque en 2026 y los próximos años, proteger los datos y la reputación de tu empresa no es una opción, es una necesidad.

Publicado en https://www.linkedin.com/pulse/construyendo-el-sistema-inmunol%C3%B3gico-digital-de-tu-organizaci%C3%B3n-tapaf/?trackingId=k0I9tiBsRYOuo%2BTdP1%2B0uQ%3D%3D

Telegram>Mikrotik

11 marzo, 202111 marzo, 2021 cristian Deja un comentario

Las desprolijidades de mi mutualista

28 julio, 202014 octubre, 2020 cristian Deja un comentario

con la seguridad de la información.

Si, así como lo leen, en muchos sentidos mi mutualista es muy desprolija, como casi todas las de Uruguay, mejores peores, por mil cosas.

Pero no voy a hablar de la prestaciones que me da, de las cuales no me puedo quejar, sino de la proteccion de datos y la seguridad de información.

Hace mas de un año, luego de que presentaran una app de celular la instalo y como buen curioso la examino, ahi encuentro que no solo pasaba los datos en plano, sino que lo hacia hacia un windows server en EEUU.

Un nmap después veo que tienen abierto al mundo no solo el puerto del MS SQLserver abierto sino un ftp… con las claves por defecto y dentro… la app con los fuentes y los hashes de las DB ahi nomas..

Bueno, esto se notifico por mail a ellos y al cert.uy.

Lo arreglaron y no seguí, no me corresponde hacerlo ni tenia permisos, pero me puse a las ordenes, me dieron las gracias y nunca mas.

Poco tiempo salió un llamado para el puesto de seguridad de la información, pero como no tengo titulo profesional habilitante no me podia presentar, alguien seguramente se presento, agarro ese trabajo y esperaba que pudieran mejorar la seguridad de en definitiva, mis datos. Parece que no.

En diciembre de 2019 me pongo a mirar unos resultados de análisis clínicos personales (la edad pesa) y me encuentro que los resultados están en una carpeta temporal en la web (a la que le pusieron https!) con un nombre de archivo numérico secuencial, cambiando los números del nombre del archivo pdf puedo acceder a los resultados de cualquier otra persona…. de nuevo, notifico telefónicamente a la institución y por mail al cert.uy estos me informan luego que también se pusieron en contacto con la institución.

Este caso es el resultado de analisis de VIH de un paciente, el nombre y el num soc estaban ahi publicos…

Esto no es contra nadie, sino que se visibilize la importancia de la seguridad en la información. No solo que nadie tiene por qué saber mis temas medicos, sino que alguien maliciosamente puede llegar a tener datos suficientes para otro tipos de delitos.

En este tipo de cosas siempre se criminaliza al que encuentra e informa de estos problemas, pero raramente se hace responsable a quienes en en la omisión no velan por la seguridad de nuestra información, en estos casos se notifico a la institución y solucionaron los problemas, no me corresponde realizar un seguimiento del estado, pero de encontrar cosas así como siempre reportar al cert.uy y a la institución/empresa.

La institución he invertido y esta realizando cosas muy destacables y pioneras a nivel nacional en informática medica, pero este tipo de errores son muy básicas como para dejarlos pasar por alto.

MIRAI el estandar TR-069 y Uruguay

30 noviembre, 201613 diciembre, 2016 cristian 1 comentario

Mirai es el nombre de la botnet que afecta los IoT y hace un tiempo se cree fue el que realizo el mayor ataque DDoS de la historia, afectando a todo el mundo. Principalmente infectado dispositivos vulnerables o pocos seguros como son los IoT

Ahora Mirai ah mutado y afecto routers de las operadoras que utilizan el estándar TR069 para administración remota utilizando el puerto TCP/7547 (Gracias Gaston por el comentario) en nuestro país unos 25300 modems de ANTEL tiene dicho puerto abierto hacia internet, esperamos que nuestros modems no formen parte de una nueva botnet, por lo pronto en Alemania afecto a 1 millon de Usuarios.

http://www.genbeta.com/actualidad/el-ataque-contra-dyn-dns-que-sacudio-internet-fue-probablemente-obra-de-hackers-amateurs
https://github.com/jgamblin/Mirai-Source-Code
https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
https://es.wikipedia.org/wiki/TR-069
http://www.theregister.co.uk/2016/11/28/router_flaw_exploited_in_massive_attack/
https://www.shodan.io/report/MPUUhBBw
http://www.theregister.co.uk/2016/11/28/router_flaw_exploited_in_massive_attack/

Modem ZTE F660 ANTEL. Falta update, falla seguridad.

13 septiembre, 20165 octubre, 2016 cristian 34 comentarios

El módem de Fibra ZTE F660 (1) es un equipo Router/modem de Fibra usado en todo el mundo.
En Uruguay ANTEL lo instala para sus clientes residenciales.
Al momento de la instalación o de manera remota llamando al Servicio técnico se puede
solicitar el uso como módem o router (cuenta con wifi)

Para acceder a la configuración del equipo este cuenta con 3 usuarios:

user (clave «user»)
Permite configuración básica, datos de acceso PON, Wifi
instalador (clave «wwzz2233»)
Configuración básica más la posibilidad de abrir puertos
admin (clave «Ql52jP23» y “5DhD64Je”)
Control total del equipo.

Generalmente estos equipos no cuentan con el acceso web de administración abierto para internet sin embargo se detectó al (04/04/16) (2) que por lo menos 998 routers cuentan con el puerto telnet(3) abierto a internet, esto representa un gran riesgo de seguridad para los usuarios de estos equipos.
No solo se puede acceder a los datos de la conexión, sino también a modificar parámetros, este problema puede ser explotado para realizar distintos tipos de ataques, desde ingresar a una red sin autorización, colocar algún bot o backdoor específico para el hardware (como ha sucedido con algunos modem/routers 4) o un ataque de DNS hijacking (5).
Es común verlos tanto en hogares como en empresas y es un riesgo de seguridad que casi nunca tenemos presente.

La solución (o mas bien mitigación de los riesgos) por parte de ANTEL es deshabilitar el puerto telnet en estos equipos y el reseteo de las claves correspondientes, y por parte de los fabricantes mantener actualizaciones del software.

Esto fue notificado al CSIRT-ANTEL y me respondieron rápida y amablemente que esto estaban trabajandolo.

ZTE

1 http://enterprise.zte.com.cn/en/products/network_lnfrastructure/broadband_access/xpon_olt/201401/t20140109_416587.html
2 https://www.shodan.io/report/qmXnnJUs
3 https://es.wikipedia.org/wiki/Telnet#Problemas_de_seguridad_y_SSH
4 https://w00tsec.blogspot.com.uy/2016/09/luabot-malware-targeting-cable-modems.html
5 https://en.wikipedia.org/wiki/DNS_hijacking

DNSCrypt o cómo asegurar nuestras consultas DNS

7 septiembre, 20162 febrero, 2018 cristian Deja un comentario

Cuando usas HTTPS o SSL para navegar, consultar correo o usando algun otro programa estas haciendo que tu tráfico sea encriptado (generalmente)

Pero qué pasa con las consultas DNS ? Aun cuando el tráfico sea encriptado, incluso haciendo uso de una VPN tus consultas a los DNS va en plano.

Esto deja la puerta abierta no solo a ataques de spoofing o MitM (man-in-the-middle) sino que implica que tu proveedor de DNS pueda guardar un registro de tus consultas y ayudar a espiarnos a gobiernos e instituciones.

DNSCrypt nos viene a ayudar a proteger nuestras consultas DNS.

update: 02/02/2018

El proyecto original murio, quedaron como alternativas:

dnscrypt-proxy

DNSCurve

o el recomendado por los desarrolladores originales: DNS-over-TLS, tenta es un browser para android y da unas guías de como usarlo.

DNSCrypt

Qué és? Según wikipedia:

DNSCrypt es una implementación de DNSCurve, que sirve para cifrar el tráfico DNS entre el ordenador del usuario y los servidores de nombres de OpenDNS. La implementación de DNSCrypt en OpenDNS se puede realizar mediante la instalación del servicio DNSCrypt.org.

Este programa corre en *nix, OSX, Windows, Android, iOS y algunos routers, tanto el servidor
como el cliente tiene sus fuentes en github (https://github.com/jedisct1/dnscrypt-proxy)
con permisos para usar, copiar modificar y/o distribuir.

La instalación es simple (está en paquetes de ubuntu), está bien documentada y su puesta a punto es sencilla.

Básicamente su funcionamiento es:

El cliente traslada la consulta regular a una consulta autenticada, la reenvía a un servidor DNSCrypt y la respuesta la verifica y la reenvía al cliente si esta es genuina.

Interesanet es ver el protocolo QUIC (Quick UDP Internet Connections https://en.wikipedia.org/wiki/QUIC) interesante ver que esta relacionado con Chrome, SPDY y HTTP-2.

También se puede configurar para usar UDP/ TCP en el puerto 443, este puerto generalmente no está bloqueado por los routers o ISPs como sí puede estarlo el puerto estándar DNS o alguno otros puertos pero puede ser mas lenta la respuesta.

Sin lugar a dudas no es la solucion, que seria su uso en conjunto con DNSSec pero es una
capa mas de protección a agregar a nuestro arsenal digital.

Algunas capturas de wireshark.

Ransomware infecta a compañías a través de RDP

6 mayo, 20166 mayo, 2016 cristian Deja un comentario

En Uruguay una búsqueda rápida en shodan nos da que puede haber más de 2000 equipos vulnerables (Equipos Windows), lo que demuestra una vez más la falta de conciencia en la seguridad de las redes y los datos.

Los atacantes armados con ransomware buscan vulnerar a empresas a través de un hoyo encontrado comúnmente en los mal asegurados servidores de escritorio remoto visibles desde Internet de la red de las organizaciones.

Según Wouter Jansen, especialista forense en TI de Fox-IT, la compañía ha sido llamada últimamente por una serie de empresas que se han visto afectadas con ransomware, y un subconjunto de estas ha dejado que los atacantes y el ransomware entren a través del canal mostrado en la imagen:

«Las entradas en los archivos de bitácoras muestran que los atacantes consiguieron acceso a los servidores mediante ataques de fuerza bruta a usuarios y contraseñas en los servidores de escritorio remoto visibles desde Internet. Día tras día, los intentos fallidos de inicio de sesión que se registran provienen de cientos de direcciones IP únicas probando cientos de nombres de usuario únicos», señaló Jansen. «Después de atacar a las credenciales por fuerza bruta para obtener acceso a un servidor de escritorio remoto, los atacantes pueden hacer cualquier cosa en el servidor o la red con los permisos que tenga la cuenta de usuario comprometida.»

En el pasado eso significaba que los atacantes, en general, intentaban obtener datos que pudieran vender en el mercado negro, añadir al sistema comprometido a una red de bots o usarlo para enviar correos electrónicos no deseados. Sin embargo, algunos de los atacantes han cambiado al uso de ransomware en un esfuerzo para obtener ganancias forma rápida y evitar complicaciones posteriores.

«Dependiendo de la segmentación y segregación de la red, el impacto del ransomware que se ejecuta desde una estación de trabajo en un cliente de la LAN puede estar limitado a los segmentos de red y recursos compartidos de la estación de trabajo y los que la cuenta de usuario afectado puede alcanzar. Desde un servidor, sin embargo, un atacante podría ser capaz de encontrar y llegar a otros servidores y cifrar los datos críticos de la empresa para aumentar el impacto», señaló Jansen.

Los atacantes también pueden tratar de descubrir cuándo se llevan a cabo las copias de seguridad con el fin de decidir cuándo ejecutar el ransomware para obtener la máxima eficacia. Por lo general son exitosos manteniendo oculta su presencia en la red corporativa hasta que desencadenan el malware.

Afortunadamente, este tipo de ataque puede ser fácilmente frustrado por los administradores. Hacer que el servidor de escritorio remoto sea inaccesible de forma remota no es posible, por lo que las cuentas de usuario con acceso remoto deben tener una contraseña compleja y difícil de adivinar, adicionalmente se puede implementar la autenticación de dos factores o la verificación de dos pasos y la conexión remota debe estar cifrada.

Fuente: Help Net Security RC

[ZIMBRA] Protegernos contra ataques DoS postfix AUTH

8 abril, 20168 abril, 2016 cristian Deja un comentario

En un cliente tuvimos problemas ataques varios contra el servidor de correo Zimbra, aparte de problemas por weak passwords (decisiones gerenciales) y la costumbre de poner «123456» y «qwaszx12» que se rompen por diccionario fácilmente.

Luego de que tomaran conciencia de esto y mejorar mucho el manejo de claves igualmente seguimos sufriendo ataques constantes.

Usamos entre otras cosas fail2ban junto a zimbra desde hace algún tiempo ( [ZIMBRA] ENFRENTANDO EL SPAM CON FAIL2BAN )

Ultimamente aumentaron los ataques contra postfix y las reglas del fail2ban que usabamos no las filtraban

En el log se los ve así :

Apr 6 06:30:49 mail postfix/smtpd[00000]: connect from unknown[151.237.190.118]
Apr 6 06:30:49 mail postfix/smtpd[00000]: lost connection after AUTH from unknown[151.237.190.118]

Así que creamos las siguientes reglas en el fail2ban

1: Agregar esto al final de /etc/fail2ban/jail.local

[zimbra-auth-dos]
enabled = true
filter = zimbra-auth-dos
action =iptables-allports[name=Zimbra-auth-DoS]
logpath = /var/log/zimbra.log
ban= 600
retry=5

2: Crear el filtro /etc/fail2ban/filter.d/zimbra-auth-dos.conf

[Definition]
failregex = lost connection after AUTH from (.*)\[<HOST>\]
ignoreregex =

3: Reiniciar fail2ban y luego de 5 intentos los bloqueamos por 600s

Respaldo automático a disco USB

6 abril, 20164 noviembre, 2016 cristian Deja un comentario

Si tenemos algun server o nuestro desktop de vez en cuando viene bien respaldarlo en un disco externo.

Una opcion facil y barata ( si no te dan $$$ para hacerlo como deberías) es usar un disco USB y que el respaldo se ejecute al conectarlo al puerto USB/Firewire.

Si bien no voy a explicar cómo encriptar los datos, esto sería deseable!!

Que necesitamos: GNU/Linux ( Debian/Ubuntu), Rsync, disco USB/FireWire

1: Setear udev

# dmesg
[ 1164.319347] scsi 8:0:0:0: Direct-Access TOSHIBA External USB 3.0 5438 PQ: 0 ANSI: 6
[ 1164.319746] sd 8:0:0:0: Attached scsi generic sg3 type 0
[ 1164.321741] sd 8:0:0:0: [sdc] 1953525164 512-byte logical blocks: (1.00 TB/931 GiB)
[ 1164.323140] sd 8:0:0:0: [sdc] Write Protect is off
[ 1164.323145] sd 8:0:0:0: [sdc] Mode Sense: 23 00 00 00
[ 1164.324014] sd 8:0:0:0: [sdc] Write cache: enabled, read cache: enabled, doesn't support DPO or FUA
[ 1164.333037] sdc: sdc1
[ 1164.366188] sd 8:0:0:0: [sdc] Attached SCSI disk

Vemos que el disco que conectamos, ahora vamos a obtener la data para configurar el udev

# udevadm info -a -p $(udevadm info -q path -n /dev/sdc)
KERNELS=="8:0:0:0"
SUBSYSTEMS=="scsi"
DRIVERS=="sd"
ATTRS{model}=="External USB 3.0"
ATTRS{state}=="running"
ATTRS{vendor}=="TOSHIBA "

De todo los datos que nos larga, nos interesan esos 3 para que udev reconozca el disco al conectarlo, se pueden usar otros como el idVendor.

Ahora creamos un archivo en /etc/udev/rules.d con el nombre 50-backup2usb.rules, las reglas de usuario deben ser empiezan por 50.

# UDEV rules para respaldo automatico al conectar disco.
#   udevinfo -a -p $(udevinfo -q path -n /dev/sda)
KERNEL=="sd?1", ACTION=="add", SUBSYSTEMS=="scsi", ATTRS{vendor}=="TOSHIBA", ATTRS{model}=="External USB 3.0", RUN+="/path/script/respaldo2usb.sh %k"

4/11/16 cambio el driver luego de un update
KERNEL=="sd?1", ACTION=="add", SUBSYSTEMS=="usb", DRIVER=="usb", ATTRS{vendor}=="TOSHIBA", ATTRS{model}=="External USB 3.0", RUN+="/path/script/respaldo2usb.sh %k"

Esto funciona así:

Cuando el kernel encuentra un disco sd?1 ( unica particion de tu disco USB) y está conectado en el subsystem SCSI y la marca es TOSHIBA y el modelo es «External USB 3.0»

entonces corre el script backup2usb.sh, el parámetro %k le pasa al script que el disco/partición es sdc1 ( si lo corres a mano al script debes agregarlo al final)

2: Bajar script y corregir paths

El script está disponible en: https://github.com/cristianmenghi/usbbackup

3: Testearlo

Espero que te sirva como a mi.

Shodan Creepy Stuff

9 marzo, 20169 marzo, 2016 cristian Deja un comentario

Con un tiempo libre, me puse a jugar con Shodan y las cosas que puedes encontrar son interesantes ( como la cantidad de equipos afectados por DROWN en Uruguay)

Acá no estamos libres, me he encontrado con varias cosas de este tipo, algunas de reconocidas empresas de sistemas, es evidente la falta de cultura en seguridad de sistemas.

Algunos ejemplos: