Seguridad Informática Posts

¿Qué es el DNSsec?

Estamos en el 2017 y con cada año que pasa, los ataques de los hackers son cada vez más avanzados, en los últimos años se han detectado vulnerabilidades en el DNS (documentación al respecto https://tools.ietf.org/html/rfc3833 ) que permiten que un hacker suplantar la identidad de un servidor, el objetivo del ataque es simple: tomar el control de la sesión para, por ejemplo, enviar al usuario una copia de un siti real pero será una web fraudulenta, con el fin de obtener los datos de la cuenta y la contraseña.

Estas vulnerabilidades han aumentado el interés por introducir una tecnología denominada Extensiones de seguridad del DNS (DNSSEC, la sigla en inglés) para proteger este aspecto de la infraestructura de Internet.

Actualizar OpenSSL en Directadmin contra Heartbleed (CVE-2014-0160).

Como habrán escuchado existe una vulnerabilidad en OpenSSL el fallo está en una función encargada de gestionar mensajes Heartbeat.

Estos mensajes son llamados keep-alive: es una forma de decirle al servidor que sigues conectado y que no cierre la conexión. El mensaje que mandes puede tener una carga o contenidos (payload), como pueda ser la fecha en la que se ha enviado. El servidor recibe ese mensaje y responde al cliente con esa misma carga. Este tipo de esquema “te paso algo y me respondes con lo mismo” y no es exclusivo de TLS: en los paquetes de ping, por ejemplo, también se pueden incluir datos para así calcular cuánto tarda el servidor en responder.

Como instalar mod_spamhaus en Apache

Funny-T-shirt-Designs-6A modo personal les hago de su conocimiento que tengo varios sitios web y por lo tanto cuento con un servidor dedicado en el cual están alojados. Aquellos que tienen o administran un servidor dedicado saben lo complicado que es poder distinguir entre tráfico de rastreadores o personas.

Desde hace meses empece a tener un incremento de “Bots” no deseados en mis sitios que se dedican a copiar mi contenido y publicarlo en algún lugar recóndito y perdido como Tristan da Cunha, por ello decidí hacer algo al respecto.

  • Lo primero que intenté fue crear un archivo robots.txt bloqueando el acceso a todos esos Bots y dándole permiso solo a los buscadores más confiables, pero esto fue en vano esos Bots dijeron algo como “Es mi primer día” y siguieron entrando a mis sitios, por lo cual lo descarté.
  • Lo segundó que intenté fue configurar mi CSF (ConfigServer Security & Firewall) asignando valores más estrictos al CONNLIMIT y CT_INTERVAL, pensé en instalar mod_evasive, pero con el CSF es suficiente para mí por lo que no lo hice y esta acción funcionó, pero el firewall también empezó a bloquear a rastreadores permitidos como los de Google por ejemplo, ya que su frecuencia de rastreo es demasiado alta (cerca de 400mil páginas al día) por lo que tuve que agregar a mi “WhiteList” las redes de los buscadores permitidos, pero al final de todo tuve que regresar a mi CSF el valor original ya que NO todos los bloques de IPs son consecutivos para los buscadores.
  • Lo tercero que intenté me funcionó durante muchos meses y fue por un fragmento de código en PHP que desarrollé el cual consiste en la utilización de Servicios DNS based Block List (DNSBL). Estos servicios como su nombre lo indica, son listas que contienen una base de datos de direcciones IP que se encuentran a disposición de las personas que lo requieran y son listas de Spammers o Botnets al cual se obtienen o se consultan por medio de una verificación DNS. Estas listas son actualizadas de manera constante y con información en tiempo real.

Hay muchas organizaciones que ofrecen el servicio de DNSBL de manera gratuita por lo que puse manos a la obra y nació lo siguiente:


function checktheip_bl ( $direc_ip_black, $whitelist, $blacklist )
{
if (in_array($direc_ip_black, $whitelist)){ return true; }
if (in_array($direc_ip_black, $blacklist)){ return false; }
$blacklists = array('b.barracudacentral.org','dnsbl-1.uceprotect.net','dul.dnsbl.sorbs.net','dnsbl.sorbs.net','psbl.surriel.com','cbl.abuseat.org','xbl.spamhaus.org','spam.dnsbl.sorbs.net','http.dnsbl.sorbs.net','new.dnsbl.sorbs.net','web.dnsbl.sorbs.net','dnsbl-2.uceprotect.net','dnsbl-3.uceprotect.net');
$parts = explode('.', $direc_ip_black);
$ip = implode('.', array_reverse($parts)) . '.';
foreach($blacklists as $bl) {
$check = $ip . $bl;
if ($check != gethostbyname($check)) {
$txtx = @fopen("blacklist.txt","a+");
@fwrite($txtx, "$direc_ip_black \n");
@fclose($txtx);
return false;
}
}
return true;
}

$direc_ip_black = $_SERVER['REMOTE_ADDR'];
if (checktheip_bl($direc_ip_black, $whitelist, $blacklist)==false){
die('Se ha denegado su acceso');
}

Como podrán observar utilicé muchos servicios como: Sorbs, Barracuda, Spamhaus entre otros, y esto me funcionó por mucho tiempo sin embargo había un problema: LENTITUD, el utilizar el DNSBL provoca que las páginas donde se implemente tarden de 2 a 5 segundos más en cargar, por lo que al final también tuve que desecharlo.

Sabía que los DNSBL eran la solución, pero el problema es que hay que pasar por las librerías de red hasta la función gethostbyname de PHP.

¿Como podía solucionarlo?

La respuesta es sencilla pero no fácil, usando los servicios DNSBL a nivel de red y no de procesamiento. ¿Qué quiero decir? que debía encontrar la forma de poder integrar el servicio DNSBL con Apache ya que este es el que proporciona en primera instancia la conectividad. Y fue entonces que encontré “mod_spamhaus”.

Mod_SpamHaus es un módulo gratuito para el servidor Apache, desarrollado por Luca Ercoli en 2008 y sirve en primera instancia, para proteger a tu servidor contra Spammers o Botnets utilizando el servicio DNSBL de spamhaus.org, por fin una solución que promete ser la definitiva y sorpresa, poca documentación.

En fin, decidí probar y aventurarme hasta poder instalarlo y ahora les paso el tip; he aquí los pasos para instalar el “mod_spamhaus” en un servidor Linux.

Paso 1:
Descarga el “mod_spamhaus” desde tu servidor, si tienes interfaz gráfica bájalo desde http://sourceforge.net/projects/mod-spamhaus/
si no por línea de comandos:

wget http://www.puchunguis.com/blog/mod-spamhaus-0.7.tar.gz

Paso 2:
En tu consola, dirígete a la carpeta donde almacenaste el archivo y descomprime el contenido del paquete:

tar zxvf mod_evasive_1.10.1.tar.gz

Paso 3:
Ingresa a la carpeta descomprimida:

cd /mod-spamhaus/src/

Paso 4:
Edita el archivo mod_spamhaus.c mediante nano o vim, lo que tu desees:

nano mod_spamhaus.c

Paso 5:
En la línea 97 encontrarás lo siguiente:
dnshost=”sbl-xbl.spamhaus.org”;

Deberás reemplazarlo por:
dnshost=”zen.spamhaus.org”;

Esto debido a que ZEN a venido a reemplazar a SBL-XBL y el archivo por ser del año 2008 no trae por default esta configuración.

En fin guarda los cambios (si usaste nano con CTRL+X).

Paso 6:
Instalaremos el módulo como extensión de apache usando apxs (APache eXtenSion) con el siguiente comando:

/usr/sbin/apxs -i -a -c mod_spamhaus.c

Paso 7:
Generamos un archivo de configuración para nuestro nuevo módulo mediante nano, vim o el editor que gustes, cabe mencionar que deberás crear este archivo en el folder correspondiente a los archivos de configuración de tus módulos, en mi caso es el siguiente:

nano /etc/httpd/conf/extra/httpd-spamhaus.conf

Paso 8:
Escribimos los parámetros de configuración de nuestro nuevo módulo y guardamos:


<IfModule mod_spamhaus.c>
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList /etc/httpd/mod_spamhaus.wl
MS_CacheSize 256
</IfModule>

Paso 9:
Edita el archivo de configuración de Apache para agregar el nuevo módulo y este arranque con el servicio en mi caso mi archivo de configuración está aquí:

nano /etc/httpd/conf/httpd.conf

Dirígete al final del archivo e ingresa lo siguiente:

Include conf/extra/httpd-evasive.conf

No omito mencionarte que en tu caso pudieras tener la carpeta de configuración de tus módulos en otra ubicación, por lo que si este es tu caso deberás usar la dirección donde creaste el archivo (Paso 7).

Paso 10:
Para finalizar solo deberás reiniciar tu servicio de Apache:
service httpd restart

Conclusiones

He empezado a usar este módulo desde hace una semana y la velocidad es mucho menor que mi método mediante PHP y hace su trabajo al revisar los logs de Apache noté registros como los siguientes:

[Thu May 23 02:35:43 2013] [crit] [client 121.205.241.61] mod_spamhaus: address 61.241.205.121.zen.spamhaus.org is blacklisted. Deny connection to www.****.com/******/index.php

Por lo que si te molestan los BOTS y SPAMMERs del Internet, esto pudiera ayudarte.

Si te interesa la seguridad, también puedes instalar mod_security y mod_evade, y puedes protegerte de los ataques DDOS con Cloudflare

Saludos a todos.

Policía Cibernética en México

policiaEn México tratamos de no quedar atrás y con la intención de disminuir delitos de trata de personas, pornografía infantil, robo de identidad, clonación de tarjetas, fraude entre otros, la Secretaría de Seguridad Pública (SSP-DF) creó el agrupamiento de la Policía Cibernética, yo espero que Campeche algún día se haga algo similar.

El equipo será conformado por 30 agentes, de los cuales 20 efectuarán un “patrullaje en internet” las 24 horas, los 365 días del año y los 10 restantes se dedicarán a dar cursos preventivos en escuelas, empresas y algunas dependencias, lo cual me parece una acción bastante acertada.

Bloqueo de sitios web.

Este equipo podrá bloquear y cancelar páginas de Internet que pongan en riesgo y promueven la comisión de algún delito.

Sin embargo, de acuerdo con lo planteado por el titular de la SSP-DF, este grupo podrá trabajar de manera coordinada con la Unidad de Investigación Cibernética de la Procuraduría del Distrito Federal.

También estaremos buscando detectar a las personas que los estén cometiendo para trabajar de manera conjunta con la Procuraduría (del DF) y con su Unidad de Investigación Cibernética”, expuso Rodríguez Almeida

La capacitación duró dos semanas dentro de las instalaciones del Instituto Técnico Policial capitalino, estuvo a cargo de< strong> especialistas de la Policía Nacional de Corea y en el segundo semestre de este año tomarán un curso implementado por la Unidad Cibernética Española explicó Rodríguez Almeida.

Acciones recientes

La primer acción que realizó la Policía Cibernética fue el fin de semana pasado al bloquear una página web que tenía su origen en Puerto Rico en la que se difundía contenido de pederastia y que fue denunciada a través de las redes sociales por María Ampudia, según dijo el titular de la SSP-DF.

Recientemente tuvimos una denuncia por (la red social de) Twitter y se logró bloquear esa página sobre pederastia, el viernes pasado, es por ello que fue la primera persona en denunciar a esta policía de ciberdelincuencia preventiva

Sobre este caso, el jefe de la Policía del DF aseguró que se pudo bloquear la página porque se descubrieron imágenes y videos de pederastia y se logró que la empresa que el proveedor bloqueara el acceso a usuarios del DF y no pudieran acceder a esas páginas de Internet.

En la presentación, el embajador de Corea en México, Seong Hoa Hong, reconoció el interés y dedicación de la policía del Distrito Federal para recibir esta capacitación.

Cada vez existe más conciencia de que la prevención, la detección y el combate de los delitos a través de Internet deben de constituir una prioridad en nuestros países, pues no podemos perder de vista que se trata de nuevas modalidades delictivas, de características muy particulares y sumamente complejas y es de suma relevancia para todos

Puedes seguir a la Policía Cibernética del DF en los siguientes medios:

Twitter: https://twitter.com/ssp_cibernetica
Facebook en Facebook.

URGENTE: Su anfitrión financiero ha comenzado una demanda en su contra. (VIRUS)

Ha comenzado a circular un virus en la red que ha sido muy efectivo en los últimos días, este virus se propaga por correo electrónico y el mensaje incluye lo siguiente:

Apreciable NOMBRE DE LA PERSONA,

Nuestros registros indican que recientemente adquirió un crédito por $40,235.00 M.N. en el mes de Diciembre del año 2012 y no ha efectuado abonos hasta la fecha, es por tal motivo que su expediente con clave BC-62016, ha pasado a las manos del Buró de Crédito y se encuentra generando un historial crediticio negativo en nuestro sistema.

Aprovechamos para hacerle una cordial invitación para que liquide dicho adeudo a su anfitrión financiero y evitar posibles repercusiones legales en su contra.

Estas posibles repercusiones varian desde un cobro de altos intereses inclusive del 80% del saldo adeudado, pasando por una demanda judicial en materia de embargo de casa habitación o domicilio fiscal hasta generar una litigación hacia su persona que en el peor de los casos termina con meses o años de prisión.

Por lo tanto, lo invitamos amablemente a evaluar su historial crediticio siguiendo la liga que se le muestra a continuación, utilizando nuestro generador de reportes 1.1 en Windows

En la parte inferior incluye un link de descarga del “oficio” pero en realidad es un virus, no se dejen engañar ya que este correo llega a través de la cuenta “[email protected]” pero solo es una máscara.

El buró de crédito ha emitido un comunicado oficial:

Buró de Crédito informa al público en general que un email apócrifo, a nombre de esta institución, está circulando por Internet.

El correo anuncia a los receptores que tienen un supuesto adeudo que les generará un registro negativo en su historial crediticio, causando altas tasas de interés, e incluso, amenaza con llevarlos a prisión en caso de impago.

Este intento de fraude, llamado “phishing”, busca obtener recursos monetarios e información personal a través del engaño.

Como es bien sabido, Buró de Crédito no envía correos electrónicos de este tipo, ya que no realiza labores de cobranza. Tampoco solicita, por esta vía, información personal o confidencial.

Buró de Crédito recomienda al público hacer caso omiso de estos correos y revisar, por lo menos una vez al año, su historial crediticio para conocer el estado de sus créditos.