30 marzo 2016


Que levante la mano quien gestione uno o más servidores de correo electrónico. Y que sigan con la mano levantada los que tengan esos servidores de forma dedicada. 

A la hora de configurar un servidor de correo, hay varios puntos a tener en cuenta: que si no sea open relay, que requieran autenticación antes de envío, que los algoritmos de autenticación y firma no sean débiles, que los certificados utilizados tengan una longitud de clave adecuada, etc, etc,...   

Sin embargo, el post de hoy tiene una mezcla entre seguridad y sistemas, y está pensado en verificar varios puntos que hacen que otros servidores de correo verifiquen que el servidor es correcto y que no marque como spam, o no le asigne puntos al menos por las cabeceras o por el servidor de donde viene. Si el contenido del correo contiene viagra, Rolex, invoice, archivos con doble extensión, etc,... pues ya no se puede garantizar, pero al menos que el servidor esté lo más correcto posible.

Para ello vamos a utilizar un servicio online gratuito, llamado www.mail-tester.com. Se nos muestra una dirección de correo aleatoria de mail-tester.com.


La forma de hacer la prueba es tan fácil como enviar un correo electrónico desde un cliente que salga desde el servidor de correo electrónico que queremos comprobar a la dirección propuesta por mail-tester.

Una vez enviado, se pulsa en "Then Check Your Score" y se puede ver el análisis realizado por el servicio. Inicialmente se ve un resumen:


¿Qué puntos de control se verifican?
  • Análisis con Spamassassin
  • Comprobaciones de SPF, DKIM, DMARC, Resolución inversa 
  • Verificación del contenido del correo
  • Verificación en listas negras o blacklists
Viéndolo en detalle, la primera verificación la hacen con spamassassin. Es decir, qué diría este software sobre el correo que enviaste. Hay ciertas comprobaciones que spamassassin ya hace, que serán repetidas con las que hace mail-tester posteriormente, pero es una métrica tan válida como otra cualquiera.



Las más importantes, para mi gusto, son las siguientes: 

  • Se comprueban registros SPF, que como se puede ver en el enlace, son registros DNS de tipo TXT que autoriza a qué máquinas (por dirección IP, redes en formato CIDR o por nombre DNS) pueden enviar correos electrónicos. El servidor que recibe el email, comprueba que la dirección IP de donde viene la comunicación de envío de correo está dentro de los hosts autorizados.
  • Se comprueba la firma DKIM que se envía en las cabeceras del correo electrónico. No es el objetivo explicar cómo se configura DKIM, pero en esencia, el servidor de correo emite una firma que va en la propia cabecera. Dicha firma se puede verificar con la clave pública, complementaria a la privada que emitió la firma, que se puede rescatar de un registro DNS de tipo TXT. Dicho registro viene notificado en la propia cabecera DKIM. Si la firma es correcta, es otra forma de verificar que el servidor de correo está autorizado para enviar el mensaje analizado. Hay una buena saga de posts de Chema Alonso que explican en detalle los internals de DKIM



  • Se comprueba la existencia y validez de un registro de tipo DMARC. No conocía bien este tipo de registro (de hecho la primera vez que hice la prueba me dio que tenía fallo por este item). Su funcionamiento está muy bien documentado en https://dmarc.org/overview/. Si sólo queremos su existencia (con esto ya no nos penaliza la comprobación), pero sin aplicar ninguna política, tendrá que tener un formato como este: _dmarc.securizame.com TXT "v=DMARC1\; p=none".
  • Comprobación de equivalencia de resolución inversa de DNS de la IP origen, con el dominio que envía el correo electrónico. Puede que esto no sea idéntico siempre, si se piensa en que un servidor de correo puede albergar cientos de dominios, y la resolución inversa de la IP, corresponde a uno de ellos (o incluso a ninguno, si se piensa en un ISP). 


La última de las comprobaciones se hacen relativas a la dirección IP, que no se encuentre en ninguna lista negra (de las muchas que hay). Es lo que hacía la herramienta AmISpammer, uno de mis proyectos de abandonware.



Respecto a la configuración de DKIM, SPF y DMARC, tenéis una excelente guía para entender el funcionamiento y afinamiento en la wiki de Zimbra.

Como he dicho al principio, no garantizamos la seguridad del servidor de correo por pasar correctamente esta checklist, pero por lo menos, os aseguráis (o en una muy buena medida) que la mayoría de los correos electrónicos que envíe vuestro servidor, no irán a parar a la carpeta Spam, si van dirigidos a servidores que aplican políticas de antispam estrictas como Gmail, Outlook, etc,... 



Leer más...

29 marzo 2016

Recomendaciones de twitters de seguridad en inglés



Hace un montón de tiempo, Twitter era algo que ni imaginábamos que convertiría en la potente herramienta que es, en la que no creíamos que la forma en la que nos enteraríamos de las cosas sería algo diferente a leer diariamente el contenido de las URLs que almacenábamos en una carpeta de favoritos en el navegador. Era la época en la que leíamos y seguíamos todo aquello que nos interesaba vía RSS y que no contábamos con que Google descontinuaría Reader. Y a partir de ahí… el silencio.

Twitter lo veíamos como un programita más, que consumía datos de la tarifa de nuestros teléfonos, y segundos o minutos de nuestro tiempo. Lo mirábamos recelosos de que sirviera para algo más serio que poder compartir dónde estábamos, o contenido más bien banal.

Sin embargo, Twitter se ha convertido en una herramienta muchísimo más potente y universal. Desde conversaciones kilométricas con varios nominados (o mencionados) en los 140 caracteres, que apenas dejan sitio para lo que quieres decir, reflexiones trascendentales sobre la vida que generan un montón de RTs, mecanismo de comunicación de personajes públicos,…. así como también una de las formas en que los profesionales de cada sector, pueden permanecer en contacto y actualizados sobre noticias, eventos y reuniones. 

En nuestro sector, el de la seguridad, ya hizo Alex hace años una excelente recomendación con los perfiles de twitter que en la época eran fiables y aportaban contenido de calidad a quienes nos dedicamos profesionalmente a la seguridad. 

En la actualidad, esas recomendaciones siguen siendo imprescindibles en el TL de cualquiera que quiera estar al día de lo que se cuece en el sector, aunque en este post quiero añadir alguno más. En concreto, perfiles de gente con nombre y apellidos, que lo que comparten u opinan, está realmente relacionado con seguridad en un alto porcentaje. Obviamente al ser cuentas personales, algún tweet o RT no relacionado puede haber, pero en general, compensa. 

@securityaffairs -> Pierluigi Paganini, italiano, CISO de Bit4Id. Las noticias se repiten como el Telediario 24 Horas, pero a mi juicio merece la pena

@ivanristic -> Ivan Ristic, creador de mod_security a quien ya entrevistamos en SbD hace tiempo. Noticias y enlaces sobre criptografía, aunque de seguridad en general.

@dinosn -> Nicolas Krassas, CSO de Effortel en Suiza.

@binitamshah -> Binni Shah, de India, sobre seguridad en Linux fundamentalmente, pero no exclusivamente de ese sistema operativo.

@mikko -> El conocido Mikko Hypponen, CRO del fabricante de antivirus F-Secure. Quizá aparte de compartir noticias de seguridad, pero al ser una cuenta personal puede haber de todo, aunque en general, merece la pena seguirlo.

@snowden -> Héroe para muchos, traidor para el gobierno americano, Edward Snowden ex-empleado de la NSA, exiliado ahora en Rusia. Son más opiniones personales ante noticias del día a día, generalmente escándalos a los que estamos lamentablemente acostumbrados, pero con la visión de una de las personas que ha estado dentro de una de las agencias gubernamentales más poderosas del Mundo. 

Nota: Los perfiles indicados, son recomendables según mi juicio y criterio. Si los sigues y por cualquier motivo no te convencen, lo siento. Ya sabes: Unfollow y a otra cosa. 

¿Hay más perfiles recomendables? 
Seguro que sí, mejores y peores que los que digo aquí. No sólo no lo dudo, sino que estaré encantado de tener buenas fuentes de las que leer diariamente y compartir con los lectores de SbD. 
Si crees que hay algún otro que debamos recomendar, indícanoslo en comentarios y lo evaluamos. 
Leer más...

21 marzo 2016

Security Onion: Distribución GNU/Linux para análisis de red




Muchas veces nos toca analizar el tráfico de red intercambiado entre una máquina e Internet, o incluso comprobar si un equipo tiene alguna variedad de malware que lleve a cabo actividad de red, ya sea para atacar a otras máquinas o para comunicarse con el C&C de una botnet.

En esas situaciones, o simplemente en un despliegue preventivo de sondas IDS, la distribución Linux opensource Security Onion,  de la que hablo en este post, puede servir de gran utilidad. 

Básicamente, incorpora de forma preinstalada, diversas herramientas ampliamente conocidas, un IDS como Snort y/o Suricata (nos da a elegir qué herramienta deseamos usar), GUIs para monitorizar los eventos de forma automática (Squert, Sguil), herramientas específicas para análisis de PCAPs (Wireshark, NetworkMiner) y herramientas populares de análisis forense de red como (BroXplico). De algunas de ellas hemos hablado ampliamente en SbD en vidas pasadas.



En muchas ocasiones, pensamos que puede resultarnos interesante montar y elegir qué herramientas queremos habilitar para nuestro despliegue de sondas, y generalmente cuando me preguntan o en diversas formaciones, recomiendo hacer siempre una instalación mínima e instalar las herramientas justas y necesarias para cada caso. 

Sin embargo, a veces la configuración de determinadas herramientas como Bro, o la integración con PF_RING, para entornos de grandes necesidades de tráfico, pueden resultar problemáticas, y se agradece tener un punto de partida desde el cuál empezar con varias herramientas ya integradas, pudiendo deshabilitar aquello que no nos interese, dejando el resto.

En estos casos, es cuando Security Onion me ha resultado de gran utilidad, puesto que en pocos minutos ya trae todo lo necesario y con un único wizard se configura la mayoría de los productos. 


Está basada en Ubuntu y viene con entorno gráfico, así como varias herramientas que se pueden gestionar vía web. 

Una de las herramientas más interesantes que trae es ELSA (Enterprise Log Search and Archive), que permite hacer la vida cómoda al analista, de forma gráfica, cuando tiene que interactuar con Bro.


Con esta solución, se puede llegar a hacer un buen NSM (o sistema de gestión de red) permitiendo configurar un nodo como servidor y el resto como sondas, de manera que se pueda consultar toda la información recopilada desde un mismo punto centralizado.   

Por buscarle una pega, en la última versión de Security Onion, han eliminado de la lista de herramientas una de las interfaces para Snort que más me gustan, que es Snorby. Aun así, supongo que puede seguirse instalando manualmente.

Y si ya tengo un despliegue de sondas hecho, pero me interesan algunas de Security Onion ¿Qué hago?

Bueno pues otra de las ventajas que tiene Security Onion, es que no es necesario que instales la distribución entera y partas de ella, sino que puedes incorporar únicamente los repositorios al sources.list de otra distribución basada en Debian/Ubuntu e instales aquellos paquetes que te interesan, o todos juntos.

Para el nuevo curso de Análisis Forense Digital en Profundidad que vamos a dar en Securízame, en el módulo I, en la parte en la que daré pautas sobre cómo construir un Laboratorio Forense, demostraré cómo incorporar y configurar las herramientas de Security Onion en una distribución específica para forense como es Caine, de la que ya hemos hablado en SbD.

Bajo estas líneas, os dejo una lista de videos de Security Onion, en el que hay un How-to de cómo hacer la instalación, configuración y parte de la operación. 


Leer más...

20 marzo 2016

Enlaces de la SECmana - 318


Leer más...

13 marzo 2016

Enlaces de la SECmana - 317

Leer más...

09 marzo 2016

Curso: Análisis forense en profundidad V2

Uno de los aspectos más relevantes a la hora de formarse, es el deseo de no quedarse en el punto en el que termina un curso y saber cómo actualizar periódicamente el tema sobre el que has recibido formación.

Por eso, Securízame ha actualizado la saga de cursos relacionados con 'Forense en profundidad' con un montón de nuevas áreas y nuevos profesores.

En la versión 2 del curso se hablará de:

Módulo I - El laboratorio forense, Forense en Linux 3.X y Forense en Docker - 8 horas- 

Profesores: Lorenzo Martínez y José Antonio Guasch

Módulo II - Forense en routers - 8 horas- 

Profesor: Sergi Álvarez (Pancake)

Módulo III – Forense de Navegadores - 8 horas - 

Profesor: José Antonio Guasch
Módulo IV – Gestión y respuesta ante incidentes - 8 horas - 

Profesor: Pedro Sánchez

Módulo V - Backdooring - 8 horas - 

Profesor: Yago Jesus

Módulo VI: Forense en AWS, GCE y Azure- 8 horas - 

Profesor: Toni de la Fuente

Módulo VII - Hardware forensics – 8 horas - 

Profesor: Pedro Sánchez

Módulo VIII - Análisis Forense Windows 10 y aplicaciones Metro - 8 horas - 

Profesor: Juan Garrido

Como veis, el curso se actualiza con nuevos conceptos que complementan la versión V1 impartida tiempo atrás.

Si estás interesado, puedes consultar el temario y apuntarte ya mismo porque el curso empieza el 11 de Abril.

Leer más...