31 enero 2018

Since Windows 10 Fall Creators Update, Microsoft added protection for Ransomware in their product ‘Windows Defender’.

This new feature uses a granular access control to several folders with the purpose to block changes made from untrusted software.

In the same way than firewalls do with programs that want to make connections (allow/block) Windows Defender uses the same approach to allow/block access to the folders, giving (theoretically) a very good protection to Ransomware attacks.

By default Microsoft has a pre-defined list with the software that is allowed to make changes in protected folders. Users could add new programs that could made changes.

More info about Microsoft Anti Ransomware here

Vulnerability


By default, Office executables are included in the whitelist so these programs could make changes in protected folders without restrictions.

This access level is granted even if a malicious user uses OLE/COM objects to drive Office executables programmatically.

So a Ransomware developer could adapt their software to use OLE objects to change / delete / encrypt files invisibly for the files owner.

Consider this python code:

file = open('C:/Users/YJ/Documents/test.docx','w')
file.write('Random text.')
file.close()
 

It tries to open a file located in a protected folder (Documents) to write it

If you try to use it with Defender ransomware protection activated they raise an error and access is denied because Python.exe is not allowed to make changes in the protected folder


But this python code:

import win32com.client
filetoberansom = r'C:/Users/YJ/Documents/test.docx'
word = win32com.client.Dispatch("Word.Application")
word.visible = 0
doc = word.Documents.Open(filetoberansom)
word.Documents.Item(1).Password= '12345678'
word.Documents.Item(1).Save()
word.Documents.Item(1).Close()
word.Application.Quit()


Do the magic !

  1. open the file
  2. encrypt it with password 12345678 (using native Office Document protection)  
  3. save it

Why ? Because this code uses OLE Word Object to do the work, so in fact is Word who is doing the job :)

Using this technique an attacker could perform a Ransomware attack bypassing Windows Defender protection activating the native encryption feature of Microsoft Office.

In a environment with Office+Windows (the most common) Microsoft Anti Ransom is totally useless

Another possibility is:
  • Using  Selection.Copy method to copy the content of a protected file
  • Using Selection.Paste to put the content in another file outside protected folders
  • Then delete content of the original file or put a Ransomware note  
  • Encrypt the new file as ransomware does
Notice that Office could be used to edit PDF files, Image files and others type of files not strictly related to Office documents

Microsoft answer

I have notified to Microsoft on 23 January and on 31 I got this response


The most relevant part is:

We aren't classifying this as a security vulnerability because Defender Exploit Guard isn't meant to be a security boundary

But if you read this Microsoft defines Exploit guard as 'Windows system and application exploit mitigations using Windows Defender Exploit Guard (WDEG)'

Also relevant

'Instead, we will address this through an improvement to the Controlled Folder Access functionality' 

That really means Microsoft will fix the vulnerability that should be clasified as Mitigation bypass without acknowledgment
Leer más...

29 marzo 2017

Reflexiones personales sobre #cazadoresdetrolls





Sin duda, una de las comidillas de la semana en el sector ha sido el programa "Cazadores de Trolls" que emitió anoche la Sexta.

Recuerdo que a finales de 2015, recibí una llamada de parte de una tal Julieta, que representaba a Pedro Aguado y que buscaban una persona que pudiera colaborar con ellos para ayudar ante situaciones de acoso en redes sociales e Internet, como la de anoche, en las que las víctimas denunciaban y no "se les solucionaba el problema", o simplemente no denunciaban y buscaban identificar a los acosadores. Por aquella época me encontraba en Latinoamérica y no pude contestar personalmente, pero el mensaje que se me transmitió fue ese. 

La misma información la recibimos en la cuenta de contacto del blog, a través de ANCITE,... y lo comentamos entre varios colegas del sector, en los que curiosamente todos habíamos sido "elegidos". 

La forma en la que lo planteaban sonaba francamente complicada. Había cosas que "habría que hacer" que claramente eran ilegales, y nadie quiere meterse en ese tipo de líos, aparte de ir contra la ética personal de cada uno. 

Estaba claro que querían un Reality, y por lo que me contaron otros compañeros que sí que devolvieron la llamada, cuando les planteaban la legalidad de las cosas, contestaban que tenían un equipo de abogados que dirían lo que se puede y lo que no se puede hacer.

Finalmente, cuando se publicó que el programa iba a emitirse, reconozco que mi principal curiosidad era el saber quién se habría prestado a ello, y qué habría permitido y qué no. 

Cuando ví que finalmente el elegido (o mejor dicho el que les eligió a ellos) era Enrique Serrano, pensé que el contenido estaría bien hecho, puesto que lo que conozco de él es un buen profesional.   

Quiero dejar claro varias cosas:

  • Por una parte, la actuación ante el caso de Luisa, en el que si quieres ceñirte a la legalidad de lo que puedes y lo que no puedes emitir en público, y sobre todo sin herramientas que puedan tener las FCSE (cuando tienen una orden judicial que así lo autorice) a la hora de solicitar a Twitter direcciones IP de la actividad de un perfil, a las páginas web desde las que se crean los anuncios falsos, etc,... lo que hizo Enrique no es una mala forma de enfocarlo. Realmente, es que no se me ocurren muchas más. Obviamente, es ilegal comprometer el ordenador del troll en base a que abra un enlace o descargue un fichero con algún veneno, por lo que, si el objetivo es publicarlo en TV, esas acciones quedan descartadas de antemano. En este punto, me parece que las acciones de Enrique, y que lo mostrado haya sido o no real, no son un mal camino.
  • Sobre la puesta en escena, pues está claro: Es televisión. No "mola" lo mismo que todo esto se haga desde una casa o una oficina, que montar un atrezzo en una furgoneta con papeles por los cristales en los que parezca que estás haciendo algo fraudulento/ilegal/oscuro/oculto... y por qué no decirlo "de hackers". En varias ocasiones han venido periodistas de diferentes cadenas a las oficinas de Securízame, a grabar para algún reportaje, un telediario u otros programas, y una de las cosas que te piden es que tengas algún fondo con algo relacionado. En mi caso suelo poner un top en un sistema Linux o la GUI de Snort y que se vean alertas de colores saliendo, y así todos contentos.  
  • El montaje: Este sin duda es el mayor de los miedos que tienes cuando te han grabado durante media hora hablando (o dos horas como me pasó el otro día), y el producto final mostrado al televidente, que durará 10 segundos si estamos hablando de un noticiero, o como mucho dos minutos en el caso de un reportaje, en los que quienes llevan a cabo este trabajo, generalmente buscan una frase, una afirmación o algo que hayas dicho que resuma todo lo anterior. El problema es que generalmente, si no se ha visto lo anterior, lo que se emite está fuera de contexto, y quien no se ha pegado todo el tiempo grabando contigo, puede llegar a decir: ¿En serio Lorenzo ha dicho esto?  Pero ojo que esto también te puede pasar cuando te llegan preguntas para una entrevista en un medio escrito o de radio. De hecho, en más de una ocasión he aprovechado el blog para publicar la entrevista completa o lo que realmente quise haber podido decir en un programa, y que generalmente por limitaciones de tiempo no se ha podido, sobre todo con la finalidad de que quien haya visto un programa o leído una entrevista, no se queden con unas declaraciones que se puedan calificar de poco técnicas o rigurosas, puesto que al estar destinadas a un público generalista y no-técnico, te tienes que esmerar en explicarlo de forma muy sencilla, pero sin perder el rigor de lo que dices. Y creedme: NO es fácil hacerlo. 
  • Sobre la legalidad de lo que te piden: En general, las peticiones de apariciones en medios que me llegan son para dar una opinión técnica (dentro de lo que se puede) sobre alguna noticia que afecte a la seguridad o privacidad de las personas, como pueden ser filtraciones de credenciales, de datos personales, o que supongan algún riesgo como el IoT, o algo explicativo como puede ser la utilización de TOR. 

Casos reales

Sin embargo, también me han pedido "cosas raras". En navidades me contactaron de un programa bastante conocido en relación al informe sobre riesgos de uso de Whatsapp que emitió el CCN-CERT, en los que, a ojos de la periodista con la que hablé, era algo francamente aterrador y peligroso. Tras leerlo detenidamente, ví cosas francamente normales y de sentido común. La no utilización del mismo conectado a redes inalámbricas públicas y no confiables, la abstinencia de comunicación de información confidencial a través del mismo, etc... Punto por punto se lo manifesté a la periodista, y me dijo que si no era capaz de salir en TV diciendo que podía "hackear" una comunicación de cualquier whatsapp, que entonces "ya me llamarían". Obviamente les dije que no, que ahora el cifrado iba extremo a extremo, y que a día de hoy, no tenía conocimiento de que se pudiera hacer. Tiempo después se emitió el programa y quise ver esa parte, en la que salía una persona que decían que mostraría lo inseguro del protocolo porque lo iba a "hackear". Básicamente lo que hacía era comprometer un terminal Android con un spyware y obviamente accedía a las conversaciones de whatsapp, pero si quisiera también a todo el contenido del dispositivo... Normal! Pero, para mí, eso NO es interceptar cualquier whatsapp.

En otra ocasión me contactaron de un informativo para hablar de la inseguridad de tener cámaras de CCTV cuya administración estuviese expuesta hacia Internet (esta descripción es la que yo doy, pero a mi me dijeron algo menos entendible). Les dije que no había ningún problema en hablar de ello, así como de dar diferentes consejos para mejorar la seguridad de esas acciones, y así concienciar al público evitando en la medida de lo posible que les puedan comprometer. Directamente me dijeron: ¿Entonces, podrás "hackear" las cámaras de una empresa en vivo y que nosotros lo grabemos?. Atónito, mi respuesta fue: "Ehm...  lo que me pides no se puede hacer porque es ilegal". "Lo que sí que puedo hacer es mostrar diversas tecnologías de cámaras accesibles desde Internet [pensando en búsquedas en Shodan básicamente], y luego acceder al panel de las de mi empresa, para las que obviamente estoy autorizado, de manera que nadie nos pueda denunciar por ello". A esto me contestó la periodista que si no era posible que hackeara la de otra empresa en vivo, no les interesaba porque se lo habían pedido así. Obviamente, tampoco accedí a ello.

Conclusiones

No quiero justificar que lo que han publicado en Cazadores de Trolls esté bien o mal, que sea verdad o un fake, ni que le pongan más o menos salsa para que el programa sea atractivo hacia un público generalista. 

Respeto la decisión de Enrique a que se haya prestado a salir en el programa, aunque personalmente creo que era un jardín en el que muchas personas de la comunidad vimos, por las formas iniciales y el contenido, que no iba a ser algo que fuese a resultar sencillo y preferimos no prestarnos a ello.   
Leer más...

17 febrero 2017

Próximos eventos de formación presencial de seguridad en Securízame

A lo largo de 2017, en Securízame, hemos ido planificando un buen calendario de capacitaciones presenciales en la academia de nuestras instalaciones en Madrid. Así, hemos impartido dos sesiones de Gestión y Respuesta ante Incidentes en GNU/Linux, que han aportado un muy buen feedback por parte de los alumnos.  

26, 27 y 28 de Mayo de 2017: DFIR y Análisis Forense en Windows (8 plazas disponibles a la fecha) 



Como complemento al curso de Gestión de Respuesta ante Incidentes y Análisis Forense de Linux, surge este otro curso con el mismo objetivo para Windows. Preparar al alumno para que sea capaz de enfrentarse ante un incidente de seguridad, pero en este caso en el que las víctimas sean ordenadores con sistema operativo Windows.

En la misma línea, se entregará una imagen para un USB de Incident Response con herramientas para Windows, que utilizamos en Securízame para cuando nos toca hacer este tipo de actuaciones. Asimismo se detallarán los diferentes artifacts y elementos del sistema operativo, susceptibles de contener información valiosa en un incidente o a la hora de realizar un peritaje informático forense en Windows.

Los profesores que estaremos encargados de llevar a cabo esta formación somos Pedro Sánchez Cordero y yo (Lorenzo Martínez Rodríguez), que contamos con amplia experiencia en impartir este curso a diferentes empresas y organizaciones, de forma conjunta, con muy buenos resultados.   

Tienes la información y acceso al registro de este entrenamiento en este enlace: DFIR y Análisis Forense en Windows.

Las plazas, son limitadas a 20 alumnos, y en general un alto porcentaje de ellas suelen ser ocupadas por antiguos alumnos a los que, por su fidelidad, les enviamos la información para acceso al curso 24 horas antes de que el acceso sea público. De hecho, primera edición de este curso, planificada para el 5, 6 y 7 de Mayo, ya se llenó, y es por eso que tuvimos que abrir una nueva.

Aunque te parezca que algunas fechas están muy lejos en el calendario, no te descuides porque se suelen llenar pronto.

En caso que no puedas asistir a nuestras formaciones por no encajarte las fechas o por la distancia a Madrid, tienes alternativas online en https://cursos.securizame.com/cursos, que no están sujetas a ningún tipo de agenda, puesto que se trata de cursos pre-grabados. Esto significa que si quieres hacer cualquiera de los cursos que están disponibles en la página, simplemente te registras, efectúas el pago del mismo y te generamos todo el material de forma personalizada. 

Si tienes cualquier duda, o requieres más información respecto a alguna de los cursos o el entrenamiento, puedes contactar con nosotros a través del formulario en https://www.securizame.com/contacto


Leer más...

13 febrero 2017

Vimeo y sus enlaces


Debido al uso estos días de una plataforma de formación on-line, quise dar un paseo por el código utilizado para incrustar vídeos en la misma y que eran de mi interés. Para reproducir estos vídeos se hacía uso de una conocida red social lanzada en 2004.

Esta red social es Vimeo, uno de los competidores de Youtube, aunque con un enfoque algo diferente ya que en sus principios de uso trata de fomentar la publicación de contenido más creativo y trabajado, por lo que no es tan frecuente encontrar vídeos de máquinas triturando cosas o similares.

Imagen 1 - Detalle Plan de pago
Como ya  hemos dicho, esta plataforma estaba en uso en un curso on-line que estaba realizando, por lo que podemos ver que la publicación en Vimeo está orientada en muchos casos a un uso más profesional que de ocio, por ello la Privacidad es algo importante y uno de los puntos fuertes que vende Vimeo en sus cuentas de pago.

Vamos a ver cómo es posible descargar los vídeos alojados en esta plataforma a través de los scripts generados en las páginas donde insertamos nuestros vídeos, y la manera en la que se muestran estos scripts.

He querido hacer hincapié en este punto, ya que este problema se presenta en los vídeos que son insertados y en el código que se genera para ello. No se presenta este problema en los vídeos que están directamente alojados en la plataforma o si están protegidos con contraseña, ya que hasta que no se tiene acceso a la reproducción del vídeo, éste no se puede descargar.

Algunos pueden pensar que es un problema menor, y que si ya tengo acceso al vídeo, ¿Para que quiero descargarlo?. Pues bien, vamos a poner un caso práctico en el que tenemos acceso a una plataforma de formación por tiempo limitado, de esta manera podremos bajarnos los vídeos y verlos cuando queramos o peor aún, difundirlos, con el perjuicio económico que esto puede suponer al dueño del material. Aprovechando este punto, no está de más recordar que difundir cualquier material con derechos de autor sin permiso del autor es incurrir en un delito contra la propiedad intelectual.

Con estos apuntes iniciales, vamos a ponernos en situación y detallar el proceso.

NOTA: Todas las pruebas de este artículo están realizadas con un vídeo de prueba para evitar desvelar datos de casos reales, aunque se ha comprobado que el fallo afecta a todos los vídeos comprobados, y se ha reportado a Vimeo para que se tenga en cuenta y tomen las medidas que consideren oportunas.

Imagen 2 - Configuración de vídeo para evitar descarga
He subido un vídeo de prueba donde podemos ver que se ha deshabilitado la opción “Descargar vídeo”, además de darle una contraseña para comprobar que solo cuando el vídeo está activo es posible descargarlo. Ahora el vídeo será insertado en una página HTML para probar su funcionamiento.

En este momento nos encontramos dentro de nuestra “plataforma de formación”, en la cual vemos un vídeo insertado y nos pide la contraseña configurada. Mientras no la introduzcamos no podremos ver el vídeo, lo que nos hace pensar que el sistema es seguro. Este paso no suele ser necesario, ya que por defecto la reproducción comienza solo dando a “Play”,pero aún así hemos querido probar todos los casos posibles.

Una vez insertada la contraseña, vemos que el vídeo puede interesarnos y que no tiene un botón de descargar, por lo que intentamos mirar más a fondo el código de la página, y localizamos el código del vídeo incrustado.

Por supuesto, la opción de usar páginas de descarga de vídeos se ha probado y no funciona con vídeos protegidos y además, son un nido de pop-ups y de basura, así que lo descartamos en estas pruebas.
Imagen 3 - Mensaje de protección de privacidad

Vemos que hay una URL que apunta directamente al vídeo, de manera que hacemos la primera prueba pasando esa URL a otra pestaña del navegador.

Como era de esperar no podía ser tan sencillo, lo que me hace seguir revisando el código hasta localizar una etiqueta que contiene un script, la despliego con pocas esperanzas ya que seguro que el código se encuentra ofuscado y no podremos ver nada…


Imagen 4 - Script generado por Vimeo
Nos llevamos una sorpresa al ver que no se han preocupado de ofuscar el código de ese script y que contiene muchas URL, así que vamos a probarlas, pero antes vamos a ayudarnos de http://jsbeautifier.org/ para hacer más legible el código y que nos sea más sencillo de leer.

Una vez que tenemos el script tabulado de una manera más visual, podremos recorrerlo en busca de enlaces e información que pueda ser de interés.

En primer lugar, nos llama la atención una serie de URL's que corresponden a la red de distribución de contenidos o CDN de Vimeo. Tal y como era de esperar, disponen de otra red paralela donde tienen replicados los contenidos en diferentes puntos de la red. De esta manera aceleran su entrega a los clientes, y es en estos enlaces donde encontramos el problema, puesto que no se trata la privacidad de la misma manera.

El primero de ellos nos descarga una lista de reproducción de contenidos, de ahí la extensión *.m3u8. Al tratar de reproducirla nos da una pista de los ID's de cada vídeo, pero es imposible su reproducción al no coincidir las rutas donde se ubican los archivos.

Imagen 5 - Error mostrado en la reproducción de la lista

Seguimos revisando el script, y vemos que tenemos una nueva URL, aunque esta vez contiene una extensión *.MP4 por lo que nos puede dar alguna esperanza más, siempre y cuando no hayan tenido en cuenta los controles de privacidad.


Al copiar esta URL en el navegador, nos sorprende que podemos ver el vídeo que antes nos mostraba el error de privacidad, y lo que es mejor, podemos descargarlo solamente con la opción de "Guardar vídeo como..."

Imagen 7 - Vídeo y opción de descarga del mismo

Y por último, vemos que podemos reproducir el vídeo sin ningún problema.

Imagen 9 - Reproducción del vídeo
Los parámetros de las diferentes URL's nos permiten elegir la calidad en la que descargar el vídeo.
Cada URL también contiene un token con un tiempo de vida limitado, por lo que la descarga se debe realizar en el momento que vemos el vídeo. Se encuentran un par de variables en la URL que marcan el tiempo en el que expira, y que está relacionado con el token de autenticación. Estas variables podrían ser objeto de estudio para investigar de que manera se generan los token y las URL's.

Además, revisando el script vemos que nos muestra más información que puede sernos de utilidad, como por ejemplo el tipo de cuenta y la moneda en la que se paga en esa cuenta. De manera que podamos inferir información de la empresa o persona que ha colgado el vídeo, y pensar algún tipo de ataque de ingeniería social o phishing.


Imagen 10 - Otros datos de interés en el script

No he realizado una revisión más profunda del script, ya que no era el objetivo de este artículo y lo he dejado en manos de Vimeo, habiendo notificado este error a través de su plataforma de reporte de errores por si lo consideran tan importante como para solucionarlo.

Conclusiones:

Después de realizar estas pruebas, podemos observar la importancia de intentar ocultar todo lo posible el código en una aplicación en producción para evitar esta clase de errores, ya que se trata de una práctica sencilla y puede ahorrarnos ciertos problemas, y más aún cuando proporcionamos un servicio de pago a nuestros clientes.

Tal y como se encuentra ahora la programación de la web, el siguiente paso sería la creación de un script que pueda buscar y utilizar estas URL's para descargar vídeos de Vimeo desde una web similar a las que ya existen, pudiendo incluso descargar vídeos que en principio tienen contenido protegido.

Además, a la hora de subir contenidos creo que es recomendable también por nuestra parte , preocuparnos de introducir otros factores que puedan ayudarnos a evitar la difusión no controlada de nuestro material, como pueden ser marcas de agua, metadatos, uso de esteganografía para incluir un fichero de verificación en el vídeo, etc...

Artículo por cortesía de: Héctor Alonso del Bosque  -   @hector6598
Leer más...

09 febrero 2017

RootedCON Madrid 2017

Un año más, llega la octava edición de RootedCON en Madrid, que de nuevo repite localización. Tendrá lugar del 2 al 4 de Marzo de 2017 en los cines Kinépolis de Ciudad de la Imagen en Madrid.




Multitrack y ponentes

Como principal novedad para esta edición, se cuenta con dos tracks en paralelo, uno enfocado a Seguridad como viene siendo habitual, y otro sobre temática DevOps.

La primera versión de la agenda de ponencias para los tres días se puede consultar en este enlace.


Entre los ponentes destacan Mikko Hypponen y Paul Vixie que darán charlas a modo de keynote el primer día del congreso, junto a un gran elenco de profesionales del sector tanto nacionales como internacionales, que se pueden consultar en esta página junto con la información de las charlas.

Formaciones

Las formaciones disponibles, tanto en formato Bootcamp (tres días) como RootedLabs (un día) son las siguientes:
Tendrán lugar los días previos al congreso (de lunes a miércoles) y las plazas son limitadas. Están próximos a cerrarse, por lo que ¡recomendamos registrarse cuanto antes!

RootedWarfare

En paralelo a ambos tracks de charlas, se celebra como en anteriores ediciones RootedWarfare, un espacio donde poder presentar tus herramientas durante un período corto de tiempo, así como en formato workshop para profundizar en su desarrollo y su utilización en escenarios reales. Es un espacio idoneo además para la búsqueda de colaboradores en tu proyecto y generar una comunidad alrededor de tu desarrollo. Más información en la propia página de RootedWarfare.

Registro


Este año como novedad en el registro, se cuenta con descuento para desempleados, así como para menores de 24 años. Todavía puedes registrarte para la próxima edición de RootedCON utilizando el siguiente formulario:


¡Nos vemos en la Rooted!


rooted2016_1_005
Leer más...

26 enero 2017

Utilizando la esteganografía para salir del radar de control (I)


Voy a contar una anécdota realizando un hacking ético a un banco internacional. El reto propuesto por el jefe de Seguridad, era poder exportar una parte de la BD clientes de la empresa (que para hacer la PoC, ubicamos un pequeño TXT como objeto), hacia el exterior. Mi ambiente de trabajo era una desktop perteneciente a un empleado del banco.


Las primeras pruebas que hacemos todos, eran en vano. Los sitios para compartir estaban todos filtrados, los puertos de mi PC no permitían mucha interacción, los correos externos no estaban permitidos y demás. Tratando de buscar una salida a este problema, me encontré con Blogger (sí, el servicio de blogs de Google) y esto me llamó mucho la atención. Todos los servicios de Google estaban bloqueados, excepto éste. Recuerdo que en ese tiempo tuve mi primer blog en esa plataforma.
Probé autenticarme y accedí. Ya estaba sonriendo, entendiendo donde estaba la posible brecha. El primer intento, fue escribir un nuevo post con una foto cualquiera. Le dí a publicar, accedí desde el exterior a mi blog y ahi estaba la imagen, esperando ansiosamente a ser explotada.
Tenía dos alternativas:
  • Jugar desde Windows. El comando para este caso era copy: los argumentos a pasarle eran /b (según Microsoft, indica la copia de un archivo binario), la imagen víctima y luego adicionamos el binario que queremos ocultar, zippeado. La instrucción quedaría de la siguiente forma:
    • copy /b imagen.jpg ocultar.zip
  • Jugar desde Linux. Podia hacer lo mismo que en el caso anterior, pero con el comando cat. Esto no era conveniente, porque dejaba evidencias con conexiones a otros servidores. La mejor decisión era causar la menor cantidad de ruido, levantando muy pocas sospechas.
Vayamos a lo importante, hagamos una demo de como fue el ataque:
Tenemos nuestros archivos: la imagen y el mensaje secreto. 
Hacemos el proceso de esteganografía


Solo resta escribir un post, subir la imagen y publicarlo:

El post con la imagen, ya está online.

Voy a descargarme la imagen con curl y luego con un cat voy a ver su contenido. Si tengo suerte, debería ver el contenido del secreto TXT:



Realizamos la descarga.

Vemos el resultado. La palabra SecByDefault estaba oculta en la imagen.
Podríamos tratar de subir archivos más pesados, con otras extensiones y más importantes que un simple TXT, pero eso lo dejamos para una segunda edición. 
Contribución por cortesía de Gabriel Franco, 0x1Gab
Leer más...

24 enero 2017

Entrevista a Michael Boelen, el creador de Lynis y rkhunter




Seguro que a quienes os ha tocado administrar y securizar máquinas Linux, tenéis a Lynis como una de las herramientas de cabecera, para poder comprobar si os habéis dejado algún agujero por tapar. De hecho, en los inicios de SbD, ya hablábamos sobre esta fantástica herramienta. Pero no Michael no sólo es conocido por Lynis, sino por haber desarrollado tiempo atrás otra herramienta que no puede faltar cuando se analiza un incidente de seguridad en Linux, en el que hay una máquina comprometida: RKHunter.

Pues hoy os traigo una entrevista al padre de ambas criaturas: Michael Boelen. Holandés y un auténtico experto en Linux. Sin duda una persona de la que aprender, tanto a nivel técnico como por desarrollar Lynis, su proyecto personal, y potenciarlo hasta dedicarse profesionalmente en cuerpo y alma a él. 

La entrevista está en inglés. Pensé en traducirla al español, pero creo que así como lo he hecho en otras, el resultado ha perdido su esencia. Creo que es mejor dejarla en el idioma original y, a no ser que me lo pidáis en los comentarios, la dejamos así. 

SbD - Michael, you are the developer or Lynis, one of the main automated internal auditing tools for GNU/Linux systems. What did make you to start developing this useful tool?

Michael Boelen The best tools or apps are usually created because of a specific need. I needed a quick way to replace hardening guides (like the CIS benchmarks) during my years as a system administrator. Reading the documents simply take too much time. And instead of just checking the boxes, I wanted a tool that could test systems on a daily basis and tell me what could be improved.

- I guess you use CIS Benchmarks Guides to adjust the checks they recommend to improve your tool. Which any other sources do you have in mind?

That is the beauty of a tool like Lynis. It is not limited to one single standard or a set of best practices. Instead, we take the most important best practices and combine them into a set of smaller tests. We group them by their focus area, like cryptography, database, mail, web, etc.

- Lynis also has plugins developed by the community, can you talk us about them?

The plugin system of Lynis extends the normal set of tests. Where normal tests have a clear outcome (good, bad, or could be better), plugins are mainly focused on collecting data. This data could then be used during the tests later on, or their output could be stored in a data report. This data report could then be fed into a SIEM, or a management interface.

- Have you ever thought about creating profiles to be able to measure a
system security level depending on the checks that standards like PCI-DSS requires?

We definitely have. In 2013 we started actually a company (CISOfy) to put more development into Lynis. For companies that have specific requirements (like being compliant with PCI-DSS, HIPAA, or ISO27001), we offer a management interface. It leverages the Lynis client tool and adds a web-based interface where all data is stored. And when you have all data in one place, the sum and value of all data from all individual systems become much higher. For example finding the questions to how do systems compare? Are similar systems also similarly configured? And for those with a need of compliance checking, the Enterprise version can do a quick scan in this area. Simply add a machine and add a compliance standard, and it will be checked.

- Although Lynis is free, you have this Enterprise version you mentioned. Do you earn your life with this project or do you work somewhere else and Lynis is a hobby or a complementary job for you?

Lynis started as a hobby project in 2007. With the business support from CISOfy in 2013, the project has seen a great increase in number of users and contributors. I'm full-time involved with business and software development, and that is for us our main stream of income.

- There are other tools that says to do the same as Lynis, like Linux Check list or LSAT. Why is Lynis better than the rest?

During the last 10 years, several tools have seen the light. The big problem with all the tools: they are badly maintained. Still, I see occasionally new projects show up and after 6-12 months stop. With Lynis celebrating its 10th anniversary, you can be assured that it is well-known and still being maintained. Compared to commercial solutions, Lynis is open-source and vendor-neutral. That is another important aspect of our tool. The last one might be surprising, but Lynis is written in shell script. Not in bash, but bourne shell (/bin/sh). This makes it perfect for people to create their own tests, even if you would use something like Python. Simply fetch the output of your script and embed into your own test. Another benefit is that Lynis runs on AIX, FreeBSD, OpenBSD, Linux, macOS, and others. As long as you have that basic /bin/sh shell available.

- Do you have any tips for people that like to contribute to open source projects?

Maybe the most important tip is that your involvement with a project could result in the most unbelievable things. Think of finding a job, a mentor, or a friendship. Even if you can't program, you can help making any project better by contributing to the documentation by sharing areas that could be improved. Even if you find a small typo, that is already worth sharing.

- For those who can do programming, any tips?

If you have the gift of being a developer, then I suggest valuing your time. In my opinion, it is better to make one very good tool, than three mediocre tools. Focus on easy of use, documentation, design, sane defaults, contributor guidelines and regular program updates. Last but not least, learn the skill of marketing. Even the best open source tools need marketing.

- Besides Lynis, are there any projects that you are involved in?

People might know me from my first big project in the past, named rkhunter (Rootkit Hunter). While I still read about malware, I don't do as much research nowadays. The time of dissecting rootkits is over. Instead, I put in a lot of time to share knowledge regarding Linux security (like 'The state of Linux security' --> https://linux-audit.com/the-state-of-linux-security/). The blog Linux Audit is one of these places where I share such knowledge. As a technical founder, I find it important to help making the digital world a little bit more secure. By sharing tips and ideas, we can inspire others to take action. Another area includes giving presentations at meetups and conferences. Last year about 10 presentations, of which most are available online. Speaking about conferences, I help to organize one in The Netherlands. It is a Dutch UNIX user group (NLUUG), focused on open standards like open source and GNU/Linux. Besides being a board member, I provide my guidance in the program committee to select the right speakers. And another small side project I'm running, is the Twitter handle @infosec_cfp. It helps security specialists to get involved in call for papers/proposals of any security conference they like to speak.

- If we like to know more about you, what is a good place to look?
Searching my name would be a good start. You will find I'm on Twitter (@mboelen), LinkedIn, and have a personal website (michaelboelen.com). And don't forget to read the blog [https://linux-audit.com] :)
Leer más...