07 mayo 2010

Experiencias graciosas de un consultor de seguridad

En los años que llevo trabajando, me ha tocado interactuar en un montón de proyectos, unos más de seguridad, otros más de administración de sistemas, en otros se me requería para apagar algún fuego o simplemente para hacer bulto. Hoy quiero contar algunas de las escenas que me han hecho más gracia en dichos entornos.

Por ejemplo, en mi primer trabajo (allá por el 2001), una incidencia tremenda en un Ministerio impide que el correo electrónico funcione correctamente. Me mandan para allá a hacer bulto y a aprender de ese tipo de situaciones (mis conocimientos en esas épocas eran muy limitados). Total que se delimita que el problema se debía a que la comunicación entre el gateway con un servidor que analizaba los correos ante virus era por protocolo CVP e iba muy lento. Me encomiendan la importante misión de ir moviendo de un directorio con un montón de correos encolados a otro más pequeño desde donde se irían procesando en menor número. Según la cola principal se vaciaba, tenía que ir moviendo nuevos correos para ser despachados. A eso de las 3AM, aparece el director de operaciones de mi empresa, un tipo con mucho sentido del humor (que ya sabía de la <ironic> grandísima responsabilidad e importancia de mi misión</ironic> ) y me pregunta, con una sonrisa en la boca y esperándose alguna respuesta divertida:

- "Qué tal? Cómo llevas la cola?"
Me empiezo a reir y le pregunto yo:
-"¿Has visto la película Mentiroso Compulsivo de Jim Carrey en la que se supone que el tipo no podía mentir en 24 horas? Resulta que le preguntan en el ascensor "¿Cómo lo llevas?" y él contesta "Pequeña, morcillona y cargada a la izquierda"...

Las risas de mis compañeros, mía, del propio director de operaciones, de personal del cliente que estaba allí etc,.. amenizaron y aliviaron los momentos de tensión sucedidos hasta la madrugada de ese viernes. De hecho, el nombre de máquina del mail relay de esa organización se llamó durante algún tiempo "pmci" en honor a aquel momento.

En otro cliente posterior, tuvimos que investigar en modo forense un ataque que había comprometido un servidor Windows. Nos pusimos a mirar logs varios en la consola de la máquina, etc,... hasta que un chico del departamento de seguridad del cliente dice: "Ya sé lo que ha pasado. La máquina tenía una carpeta compartida y accesible desde Internet. Además tenia permisos de ejecución, así que la han mapeado, han copiado un troyano ejecutable en ella y claro, al ejecutarlo ha comprometido el servidor!!!" Nuestra cara fue :O (Si ejecutas algo "desde" una unidad mapeada, se ejecuta en tu PC local, no en el remoto! Supongo que la presión y las prisas de intentar solucionarlo cuanto antes, le llevaron a pensar en voz alta algo así).

En ese mismo departamento de seguridad, se hizo una guía de securización de máquinas Solaris, en las que se recomendaba deshabilitar el demonio "echo" puesto que las necesidades de la organización no lo requerían activo. Anonadados nos quedamos cuando vino una persona del departamento de desarrollo para decirnos que se había leido la guía y que claro, ellos utilizaban el comando "echo" en algunos scripts para mostrar cosas... mi compañero hizo lo mejor que pudo para indicarle que ambos "echos" hacían cosas diferentes...

A un compañero de este blog le pasó algo muy divertido también. El escenario son dos abogados socios de una empresa que discuten y quieren dividirla. Tienen un Active Directory en Windows 2000 y ambos discuten sobre quien debe ejercer la administración. Se acuerda que cada uno tendrá un usuario administrador sobre la máquina. Uno de ellos indica que determinadas carpetas compartidas son suyas y le pide (de no muy buenas formas por cierto) al compañero que revoque determinados permisos al otro usuario. Éste le responde que al ser el otro usuario administrador también, puede volver a darse permisos y acceder igualmente. Lo que se le vino a la cabeza con mucha sorna fue... "mira, si quieres haremos algo más útil, renombro la carpeta a NO-TOCAR y ya está eh?".... (donde las dan, las toman ;D)

Un amigo me contó que estando en otro marrón, en el que el rendimiento de un cortafuegos era muy malo y el tráfico de red iba muy muy lento, un empleado del departamento de sistemas del cliente dice exultante: "Quietos todos. Ya sé dónde está el problema: Este cable que sale del cortafuegos, en el rack está muy tirante y doblado pegado con la puerta del mismo, seguro que los paquetes no pueden pasar bien por eso!!!" (y se quedó tan ancho, a mi amigo le tocó morderse las encías para no estallar de risa en ese mismo momento)

Seguro que tenéis mil historias más graciosas que estas... ¿Os animáis a contar alguna en los comentarios?

22 comments :

Pablo dijo...

Bueno, esta no tiene mucho que ver con seguridad, pero me ocurrió cuando trabajaba de técnico en un mayorista de informática. La historia es que apareció una señora que no le instalaba el AutoCAD, por lo que cogí su equipo, lo metí para dentro, y al arrancarlo, abro la unidad de CD, y me encuentro el disco de AutoCAD, y encima el de Windows.

-Señora, señora, que aquí hay dos CDS!
-Claro hombre! En la caja pone que solo funciona BAJO WINDOWS 98!

Mi cara tuvo que ser un poema xD

Un saludo.

Telu dijo...

Bueno, por mi profesión, profesor de secundaria de informática, muchas veces me ha tocado arreglar ordenadores del centro...
Un día en un aula que teníamos compartida con gente del ciclo de Administración y Finanzas(habló del año 2001 más o menos) saltó la alarma. Uno de los profesores que tenía examen en dicha aula un día llamó muy alterado al sitio donde estabamos los informáticos diciéndo que tenían todos los ordenadores¡¡¡ un virus!!!¡¡¡ Aparecía un pingüino en la pantalla !!!
Las cosas de poner en el arranque dual el Linux primero :-P

Xavi dijo...

Cuando estaba en la universidad unos amigos y yo encontramos un gusano pululando por la red (era Netware 3.x, si no recuerdo mal). El bichejo en cuestión se dedicaba a capturar contraseñas para su dueño.

El caso es que fuimos a avisar al administrador, pero había un suplente. Y el hombre, sin pensarlo mucho nos dijo que "ya, que los virus eran la leche, que él conocía a gente que era capaz de esconder un virus, que te diré yo, en un pedazo de cable". Desde entonces el "virus del cable" fue una broma recurrente en nuestro grupo. Nos imaginábamos al virus en la malla del cable, viendo pasar los datos para poder saltar encima de algún ejecutable desprevenido. XD

Jose Selvi dijo...

En la auditoría de un appliance desarrollado por una empresa para sus clientes. Conversación entre el Experto en Seguridad del Cliente (como ponía en su tarjeta) y el auditor externo:

Mira... ¿cómo decirte esto? Mmmmm. La administración de este cacharro autentica por IP...

aha

Por un servicio que está abierto a Internet...

aha

Que funciona sobre UDP!!

¿Y qué problema hay con eso?

Pues que UDP no tiene números de secuencia ni nada de eso.

¿Números de qué?

......

Jorge dijo...

En una consultoría LOPD que estaba realizando en un cliente, encontramos en el PC del Director de Sistemas un fichero de texto con las contraseñas de todos los usuarios!

Al preguntarle por semejante despropósito, nos contestó que en la consultoría anterior le habían dicho que la LOPD obligaba al departamento de informática a almacenar las contraseñas de todos los usuarios, por si las olvidaban (¿?). Al menos no recomendaron a los usuarios poner post-its en sus monitores...

Como dirían los de muchachada nui en uno de sus "mundo viejuno": Lo has entendido todo al revés :-)

Sr_KarLoX dijo...

leo que el 2001 fue un año prolijo en gracietas... contaré 3 de un personaje al que llamaré sólo Z:

a) gritando a voz en cuello en una sala de teleoperadores "¡pero ¿cómo que ha desaparecido un 7500?!

b) momento crisis tratando de subir una política a un FW1 junto con 2 amigos... mirando fijamente la pantalla... durante largos minutos... eso es confiar en La Fuerza...

c) - hemos pensado redundar la conectividad al BRS
- muy bien, eso sera caro...
- no, porque hemos pensado hacer un circuito virtual sobre el circuito físico actual, de forma que si cae el físico, el tráfico se reenrute por el virtual
- ...

(y no se puso ni colorao)

Anónimo dijo...

En una migración de un ministerio, a un compi se le cayó un monitor al suelo. Cuando fuimos a ver que pasaba el "Jefe del ministerio" y yo, mi compañero puso cara de serio y dijo:
"En cada instalación, elegimos un monitor y lo tiramos al suelo para probar su resistencia"... no veas tu el esfuerzo que tuve que hacer para no descojonarme viendo el win2000 arrancando en el monitor volcado en el suelo....
Lo más gracioso es que se lo tragó.
Salu2

Anónimo dijo...

Yo os contare una de SAT:

Recibo una llamada de un usuario, que no le rulaban los altavoces. Despues de las comprobaciones de rutina, drivers, configuracion, etcetc, me da por preguntarle si los tiene enchufados.

El tipo, muy digno el, me dice: Pues claro que estan enchufados, con quien cree que esta hablando? Sepa que soy cirujano y no se me iba a pasar poner en enchufe a la pared.

Despues del rapapolvo, y sin perder la calma, le digo: Y ademas de a la corriente... Ha enchufado sus altavoces al pc?

Acto seguido, colgo :)

Willy dijo...

Esta no es mia, pero estaba junto al IT que tenia el telefono en la mano y cara de desesperaación.

intentando recuperar un servidor linux-mysql

IT:porfavor teclea el usuario root y el pass
Usuario: no entra
IT: como que no? seguro que ese es el password
User: segurisimo yo aqui lo tengo apuntado
.....15 minutos despus
IT...a ver si le estas poniendo R O O T ?
User: NOOOO yo le estoy poniendo Ruth , como se llama mi compañera !!!!!!

Alex dijo...

Me contrataron para administrar unos equipos de una empresa, cuando lo primero que tenia que hacer era instalar configurar y asegurar un poco el tema, el empresario me viene con una caja de paquetes de software de toda clase de antivirus de casi todas las marcas, originales y con edición empresarial, a lo que me pide:

- Instale todos estos antivirus en todos los ordenadores, ya no volverá a infectar ese maldito virus autorun o como se llame y me volverá a hacer perder el disco duro entero.

Los ordenadores no eran gran cosa, y tantos antivirus no se pondrian deacuerdo y harian conflicto ... lo mas gracioso fue explicarselo al jefe sin discutir sus ordenes, era mi primer trabajo.

Vidañez dijo...

Yo dejaré una experiencia sobre runlevels y casi un intento de asesinato por mi parte ...

Trabajando en entornos Solaris, yo junior empezando y sin carrera, el ingeniero superior recién estrenado y con muchas ganas de dar ordenes ....
Lugar un site en produccion y maquina con la BD no clusterizada....

Situacion Disco de sistema dadno errores de lectura y no aparece en el format... me pongo a llamar al soporte para que me manden uno .. escucho al chaval decir esto lo arreglo yo, se sienta delante de una conexion por consola (ilom o puerto COM) y dice "ui voy a arrancar el entorno grafico" y me hace un init 5......

Toda la produccion a la mierda imaginaos mi cara


Por cierto antes que se me cabree alguien ahora tambien soy ingeniero ...

Anónimo dijo...

http://www.disidents.org/2010/05/06/aumentando-la-velocidad-de-la-adsl/

:|

Anónimo dijo...

Pues mi jefe inmediato me ha regalado dos perlas de cuidado:

- Mi PC va muy lento... ¡Ah!, ¡Ya sé por qué! Hay un proceso que se está comiendo el 99% de CPU... Pregunta mía: ¿Cuál es? Respuesta: Se llama Proceso Inactivo del Sistema... Evidentemente tuve que esforzarme para intentar aguantar la risa y no decir nada. Una amiga a la que se lo conté después estuvo mucho más ágil que yo y me recomendó haberle pedido que matara el proceso XD


- Querer compilar un fuente de windows en un linux con gcc, porque si le pones el parámetro -o le puedes decir que el fichero resultante tiene que ser un .exe

Os juro por mis niños que ambas historias son reales.

Lorenzo Martínez dijo...

Me he partido de risa con las cosas que os han pasado a los lectores. Esa era la idea de este post.
Muchas gracias a todos por compartir vuestras experiencias también.

Saludos,

CarloX dijo...

Hombre.. yo tengo muchisimas, y no quiero abusar (eso mejor con birras delante). Dejare un par de perlas , el contexto lo poneis vosotros
- Año 96(CAU/bankinter):Cliente SUPERVIP que me dice que la "trompeta no le funciona". Despues de hablarle con todo el respeto con el que pude, me di cuenta que era el "TRUMPET WINSOCK" (es decir, el antiguo dialer PPP que estaba en los windows 3.1). Era la epoca del internet gratis..
- Año 97(Telefonica DATA/Proyecto Infovia+): SuperJefe de Proyecto que viene a deshoras (en plena instalacion) y me dice que como es posible que haya una instalacion de PETACAS alli. Despues de un rato y malas caras, se referia a la "PTAC", parte de infovia+ que era la Plataforma Tarificacion y Acceso (o algo asi,ya no me acuerdo). De PTAC a PETACA..
- Año 98(BSCH), un pc administrador de firewall que no funciona: "A ver si va a ser un virus". El problema era que el administrador estaba mirando los logs del fw (en modo INFO) con EXCEL. Imaginaos.

Tengo muuchas mas.. pero.. :D

Nacho Arg dijo...

Esta esta muy buena.
Mesa de Ayuda: Hola en que le podemos ayudar.
Usuario: Me esta haciendo mucho ruido la cpu.
Mesa de Ayuda: Ruido de que tipo??
Usuario: Ruido como de motor, será porque la semana pasada me instalaron el Motor de Oracle...
Usuario: jua jua jua,,,tuuuuuuuuu.

miguel dijo...

Otra muy buena, esta en los EEUU, para que veáis que no solo somos paletos aquí.

Necesitábamos un disco de 1 Tb USB. Por aquel entonces (hará 3 años, estaban apareciendo los primeros, la mayoría dos discos de 500) y por tanto no eran tan fáciles de conseguir. Llamamos a una tienda y les pedimos el disco:

Nosotros: Queremos un disco de un terabyte.

Tienda: Querrá decir un trigabyte.

N: No, terabyte.

Tienda: No, es que hay gente que se confunde pero es trigabyte.

N: Bueno vale, tiene un disco de trigabyte?

Tienda: Si.

Ni que decir tiene que bautizamos el disco como "Triga" :D

Anónimo dijo...

Lorenzo, en este mundillo hay anécdotas para para un carro...

1) Cuando una telco se cayó
porque un gracioso suplantó la MAC interna del firewall, hasta que nos dimos cuenta comparando tiempos de respuesta de las idas y las vueltas...

2) estoy intentando recordar en qué CPD resolvimos un problema de conectividad ampliando la curvatura del cable de fibra óptica que hacía una curva en
el rack de menos de 45 grados... X-DDD

3)La que sí recuerdo es una en que se perdía conectividad entre edificios, porque el cable pasaba por las alcantarillas y las ratas mordieron el cable (año 1995)

4) Una típica de, tras 10 minutos intentando resolver por teléfono temas de pings y traceroutes; resulta que al presentarse allí, la señora de la limpieza había desconectado uno de los routers...

5) La pérdida de dominios .es porque "alguien le metió la motosierra al troncal". En esa no estuve, pero me lo contaron.

6) Los FW-1 que saturaron la tabla de conexiones el día antes de reyes el día de máxima carga y hubo que aplicar un any any accept

7) La política de seguridad que hubo que relajar, porque se decidió que los tiempos de retardo adicionales hacían perder más clientes que el impacto en el negocio de una potencial intrusión.

8) El equipo que nos llamó diciendo que se volvía del cliente porque la policía estaba interviniendo los equipos...

9)
- Esto sólo funciona si me aseguras que el switch de este rack no se comunica con el switch de este otro rack por ningún otro lado, porque se podría crear una tormenta de broadcast.
- Que no, que no, te lo aseguro.
- Pues venga, vamos a ello. Total son 19 segundos en hacer link y no más de 60 convergencia ...
* No tardó ni 10 minutos en bajar el director del banco para ver porqué se había caido todo X-DDD
(¿o era una Caja?)

10) La más dura de todas, en los tiempos del StoneBeat, a veces iba y a veces no, a veces iba, a veces no. En la vida se me habría ocurrido que una de las 14 tarjetas de red estaba rota... Qué novato era ;-)

Desde entonces aprendí que para resolver problemas, SIEMPRE hay que empezar traceando niveles desde el físico hasta el de aplicación, y no al revés...

Anónimo dijo...

Uff, si mis neuronas funcionaran como debieran, podría contaros muchas pero lo voy a resumir en que estoy harto (por no decir otras cosas) de trabajar con un jefe que le hecha la culpa de todo a los cables... o al voodoo, religión, etc xdd es patético... y frustrante a la vez...

¿Que se queda colgada la cola de impresión? Apaga el ordenador y lo desenchufa de la pared...

¿Que falla la conexión a internet? Mas de lo mismo...

Así con un largo etc...

HVC dijo...

Mi granito de arena. En un cliente reciente:

-Escenario: test de intrusión. Se permitían D.o.S con preaviso. Obtenemos acceso a un servidor FTP "X" estratégico y deducimos la posibilidad de realizar una D.o.S muy seria. Avisamos al responsable de seguridad y nos disponemos a explicarle la mecánica de la D.o.S. :

-Auditor: Hola, creemos que podemos parar el negocio de su empresa a través del servidor fpt "X" si hacemos...(interrumpen)
-Resp. Seguridad: ...haced lo que queráis en ese servidor, no váis a para la continuidad de nuestro negocio por un servidor FTP...
-Auditor: Pero oiga es que resulta...
-Resp. Seguridad: ...que hagáis lo que queráis... Nuestro negocio no depende de un servidor FTP!

Acto seguido accedemos al FTP y simplemente cambiamos los permisos de una carpeta... Esperamos 15 minutos... y suena el teléfono:

- Resp. Seguridad: ¿Pero que habéis hecho? Se nos ha parado el servicio de paquetería!!!

Y entonces le explicamos: resulta que del servidor del FTP se nutrían una serie de scripts de un SAP que gestionaba el sistema de reparto...

Resultado: una multa de 15.000 euros por un SLA que tenían contratado y brown transfer de alto nivel.

Pero la historia no termina ahí... En ese mismo servicio, localizamos otro punto de parada de negocio, y claro, ahora como estábamos muy sensibilizados, volvemos a llamar:

-Auditor: Hemos encontrado otro posible punto de D.o.S. Es un router de una ADSL a la que tenemos acceso y creemos que...(interrumpen)
-Resp. Seguridad: Ah, esa ADSL... no pasa nada, está ahí medio muerta, creo que no la usa nadie... haced lo que queráis.
- Auditor: ¿Está seguro? ¿Podríamos intentar cortar el tráfico?
-Resp. Seguridad: Sí, Sí, por supuesto, es de una red sin servicios...
-Auditor: Piense que si lo hacemos, no podremos restablecerlo luego, ya que nosotros tampoco tendremos acceso desde Internet... tendrán que restablecerlo ustedes. ¿Procedemos?
- Resp. Seguridad: Sí.

Cortamos el tráfico y en menos de 5 minutos suena el teléfono:

-Resp. Seguridad: por favor, arreglad lo que habéis hecho...
-Auditor: Tendrán que hacerlo ustedes desde ahí, nosotros, como le comentamos desde Internet ya no podemos...
-Resp. Seguridad: es que no tenemos/encontramos la password de esa ADSL...

Les facilitamos la password -que habíamos obtenido de un ataque de fuerza bruta- y les explicamos como restablecer el router (simplemente levantar una interfaz)

Lo que sucedió es que la ADSL supuestamente abandonada y sin uso estaba siendo utilizada como entrada VPN para toda la empresa...

En ese mismo servicio, localizamos un tercer punto de parada de negocio. No nos pidieron que les demostráramos nada, bastó con un simple informe de como se llevaría a cabo el supuesto ataque :-)

Anónimo dijo...

te añado uno reciente de un nuevo trabajo que entre...

Un técnico amante de .net y sus amigos cuando ve que me pongo a hacer un pequeño script en PHP me dice siempre...

"Sabias que PHP lo-hace/es-de microsoft..."

Yo con mi cara de WTF con este p*** n00b, pero bueno le pedí sources de su noticia y me apunta el mamón a las extensiones de IIS para PHP ¬¬ y luego dicen algunos (aka el maligno) que spectra no atrofia mentes.

Saludos

HVC dijo...

Mi granito de arena. En un cliente reciente:

-Escenario: test de intrusión. Se permitían D.o.S con preaviso. Obtenemos acceso a un servidor FTP "X" estratégico y deducimos la posibilidad de realizar una D.o.S muy seria. Avisamos al responsable de seguridad y nos disponemos a explicarle la mecánica de la D.o.S. :

-Auditor: Hola, creemos que podemos parar el negocio de su empresa a través del servidor fpt "X" si hacemos...(interrumpen)
-Resp. Seguridad: ...haced lo que queráis en ese servidor, no váis a para la continuidad de nuestro negocio por un servidor FTP...
-Auditor: Pero oiga es que resulta...
-Resp. Seguridad: ...que hagáis lo que queráis... Nuestro negocio no depende de un servidor FTP!

Acto seguido accedemos al FTP y simplemente cambiamos los permisos de una carpeta... Esperamos 15 minutos... y suena el teléfono:

- Resp. Seguridad: ¿Pero que habéis hecho? Se nos ha parado el servicio de paquetería!!!

Y entonces le explicamos: resulta que del servidor del FTP se nutrían una serie de scripts de un SAP que gestionaba el sistema de reparto...

Resultado: una multa de 15.000 euros por un SLA que tenían contratado y brown transfer de alto nivel.

Pero la historia no termina ahí... En ese mismo servicio, localizamos otro punto de parada de negocio, y claro, ahora como estábamos muy sensibilizados, volvemos a llamar:

-Auditor: Hemos encontrado otro posible punto de D.o.S. Es un router de una ADSL a la que tenemos acceso y creemos que...(interrumpen)
-Resp. Seguridad: Ah, esa ADSL... no pasa nada, está ahí medio muerta, creo que no la usa nadie... haced lo que queráis.
- Auditor: ¿Está seguro? ¿Podríamos intentar cortar el tráfico?
-Resp. Seguridad: Sí, Sí, por supuesto, es de una red sin servicios...
-Auditor: Piense que si lo hacemos, no podremos restablecerlo luego, ya que nosotros tampoco tendremos acceso desde Internet... tendrán que restablecerlo ustedes. ¿Procedemos?
- Resp. Seguridad: Sí.

Cortamos el tráfico y en menos de 5 minutos suena el teléfono:

-Resp. Seguridad: por favor, arreglad lo que habéis hecho...
-Auditor: Tendrán que hacerlo ustedes desde ahí, nosotros, como le comentamos desde Internet ya no podemos...
-Resp. Seguridad: es que no tenemos/encontramos la password de esa ADSL...

Les facilitamos la password -que habíamos obtenido de un ataque de fuerza bruta- y les explicamos como restablecer el router (simplemente levantar una interfaz)

Lo que sucedió es que la ADSL supuestamente abandonada y sin uso estaba siendo utilizada como entrada VPN para toda la empresa...

En ese mismo servicio, localizamos un tercer punto de parada de negocio. No nos pidieron que les demostráramos nada, bastó con un simple informe de como se llevaría a cabo el supuesto ataque :-)