jueves, 26 de abril de 2018

Máquina virtual 'no válido' no se puede encender



Qué hacer cuando aparece el mensaje "no válido" al lado del nombre de una máquina virtual en un vCenter de un entorno VMware y no es posible encender la máquina.



Recientemente me he encontrado con un caso un tanto extraño. Después de apagar una máquina virtual desde un vCenter de VMware, apareció un mensaje al lado de su nombre que decía "(no válido)":


Asimismo, las opciones de encender la máquina, editar configuración, abrir consola, etc. aparecían en gris, por lo que no había forma de encender la máquina virtual (al menos desde GUI).



Para solucionar este problema, lo que acabé haciendo fue eliminar la máquina del inventario y volver a agregarla, tal y como me comentó un compañero que ya se había encontrado con este caso. Si ya sabes cómo hacer esto, el artículo acaba aquí. En caso contrario, veamos cómo hacerlo.

Para eliminar una máquina virtual del inventario, hay que hacer clic con el botón derecho encima del nombre de la máquina virtual en cuestión y clicar la opción "Eliminar del inventario" (OJO, seleccionar eliminar del inventario, NO eliminar del disco).

Una vez eliminada la máquina del inventario, hay que ir a buscarla a su almacén de datos para poder volverla a agregar. Para ir a los almacenes de datos rápidamente, podemos usar Ctrl+Shift+D.

Si no sabemos en qué almacén de datos se encuentra la máquina, deberemos examinarlos uno por uno hasta encontrarla (o podemos conectarnos al ESX vía SSH y hacer un find).



Una vez estemos en el almacén de datos correcto, deberemos ir a la carpeta que contiene la máquina afectada y buscar un archivo con extensión .vmx (recordar que los archivos .vmx contienen la configuración principal de una máquina virtual). Una vez localizado este archivo, hacer clic con el botón derecho encima de él y seleccionar "Agregar a inventario":



Después de hacer esto, la máquina volverá a aparecer en el inventario, pero ya sin el mensaje "no válido". A partir de aquí, ya pude encender la máquina y usarla con normalidad. ¡Un problema menos!
2

viernes, 20 de abril de 2018

Qué es el ransomware y cómo reaccionar ante él



¿Qué significa ransomware? ¿Cómo podemos protegernos de él? ¿Qué hacer si nos aparece en pantalla un mensaje pidiéndonos pagar un rescate para recuperar nuestros archivos?



Ransomware (también conocido como rogueware o scareware) es un tipo de malware (programa malicioso o virus). Su finalidad es encriptar los archivos pertenecientes al usuario que lo ejecuta para posteriormente pedir un rescate monetario a la víctima a cambio de que esta pueda recuperar el acceso a dichos archivos. De ahí su nombre: "ransom" (rescate) "ware" (de software).

La aparición del ransomware data de los años 80, pero no fue hasta la propagación de WannaCry en 2017 que el ransomware cobró protagonismo a nivel mundial. Al principio, los delincuentes infectaban con ransomware a personas corrientes, esperando que estas les pagaran un rescate por recuperar su información personal. De un tiempo para aca, los delincuentes han visto lo lucrativos que pueden resultar estos ataques y han puesto en su punto de mira a las grandes corporaciones, llegando a infectar a empresas de la talla de FedEx, NHS o Nissan e incluso agencias de policía de países como Taiwan. En cuanto a España, lograron infectar a Telefónica, entre otras.

En la actualidad, este malware está infectando por igual a hogares, empresas, gobiernos e incluso centrales nucleares y hospitales, a los cuales está causando pérdidas de información, pérdidas económicas e incluso pérdida de la reputación de la empresa o país.


Vías de entrada del ransomware



El ransomware, al buscar un beneficio económico, usa cualquier posibilidad de entrada a un equipo, ya sean vulnerabilidades del sistema operativo o de sus aplicaciones, passwords por defecto en sistemas o, fuera del software, usando trucos de ingeniería social.

Una de las formas más usadas por los criminales para introducir ransomware en un ordenador es mediante ingeniería social, a través de archivos adjuntos en mensajes de correo electrónico. El atacante envía mails masivos con títulos del tipo "Actualización necesaria de Windows, Plugin requerido para seguir usando Outlook, etc." que contienen archivos adjuntos con un ransomware incrustado, con el propósito de que el usuario los abra y se infecte.

A parte de los archivos adjuntos en correos, también se están usando como plataforma de entrada a redes locales los sistemas industriales SCADA o dispositivos IoT conectados a internet. Dispositivos como aires acondicionados, impresoras de red, NAS, etc. conectados a redes corporativas e internet con medidas de seguridad pobres son un blanco fácil para estos delincuentes. Consiguiendo acceso como administrador a estos dispositivos (usando usuario y contraseña por defecto, vulnerabilidades del software, una mala configuración, etc.) acaban obteniendo acceso a la red corporativa de una empresa y desde allí infectan a decenas o incluso cientos de PCs de una sola vez.


Cómo se comporta un ransomware



Una vez ejecutado un archivo adjunto con un ransomware o una vez el virus ha accedido a una red corporativa detrás de un firewall, ya tiene vía libre. Cada ordenador infectado mandará una petición a un servidor remoto en manos del atacante para así generar un par de claves de cifrado con el que el ransomware cifrará los archivos del PC. Luego, el ransomware mostrará en pantalla (o en un archivo de texto no encriptado) un mensaje de extorsión, exigiendo que la víctima pague un rescate para recibir la clave de descifrado:


Ejemplo de pantalla pidiendo rescate en bitcoin del ransomware titulado "CryptoLocker".


Cómo actuar ante una infección



Sobretodo: no pagar. Pagar no garantiza que volvamos a tener acceso a los datos. Puede que los delincuentes, al ver que pagamos, nos sigan extorsionando pidiendo pagos consecutivos o que las claves de descifrado que nos envíen no funcionen. Además, el pago del rescate puede derivar en una responsabilidad civil del administrador.

En caso de encontrarnos con un equipo infectado, deberíamos seguir estos pasos:

• Aislar los equipos con ransomware (por ejemplo desconectando el cable de red).
• Clonar los discos de los equipos infectados (para intentar desencriptar los archivos a posteriori).
• Aislar muestras de ficheros cifrados o del propio ransomware.
• Denunciar el incidente a la Guardia Civil (Grupo de delitos telemáticos) o a la Policía Nacional (BIT).
• Cambiar todas las contraseñas de red y contraseñas de cuentas online (Amazon, Gmail...).
• Probar a recuperar los archivos cifrados con algún repositorio de claves de recuperación.
• Restaurar/formatear los equipos afectados para poder volver a usarlos con normalidad.

Después de cerrar el incidente, es recomendable registrar todos los datos que podamos recopilar sobre el mismo: usuarios afectados, ID de los equipos infectados, qué acciones se han tomado, resultados de las acciones, etc. Con esta información podremos detectar mejoras que nos serán útiles de cara a actuar más eficientemente ante un nuevo incidente similar.


Cómo prevenir el ransomware



Pautas generales para evitar, en la medida de lo posible, ser víctimas de los ransomware:

• Evitar, en la medida de lo posible, abrir correos de usuarios desconocidos.
• Revisar los enlaces de los e-mails antes de clicarlos, aunque provengan de contactos conocidos.
• Desconfiar de los enlaces acortados (goo.gl, bit.ly, ow.ly, etc.).
• Desconfiar siempre de los ficheros adjuntos aunque provengan de contactos conocidos.
• Actualizar el sistema operativo y el antivirus periódicamente.
• Usar contraseñas robustas (+15 caracteres, mayúsculas, minúsculas, símbolos...).
• Evitar usar carpetas compartidas con otros usuarios.
• Realizar copias de seguridad de los archivos personales en un dispositivo externo y/o en la nube.

Además, deberíamos disponer de un plan de acción ante una posible infección por ransomware, ya sea tener un USB preparado con el instalador de un sistema operativo para formatear PC y reinstalar todo de cero, tener una imagen de ese sistema para poder restaurarlo o tener puntos de restauración del sistema creados para poder hacer un rollback hacia un día anterior.

En un entorno empresarial, se debe contar con filtros de spam para evitar que los emails fraudulentos lleguen a los empleados. Este filtro debe estar activo y debe revisarse periódicamente. De esta manera, se evita que el empleado pueda abrir ficheros adjuntos infectados por error o que haga clic en enlaces potencialmente peligrosos para él y para la empresa. Además, se debe evitar el e-mail spoofing o suplantación de correo electrónico utilizando autenticación de correos entrantes (Sender Policy Framework o SPF, Domain Message Authentication Reporting and Conformance o DMARC, y DomainKeys Identified Mail o DKIM).


Palabras finales



A medida que avanzan los sistemas de detección de ransomware, la sofisticación de los ataques aumenta, como nos muestra ESET. Esto obliga a los usuarios - tanto a los expertos como a los usuarios medios - a ser proactivos y mantenerse informados sobre los nuevos tipos de ataques informáticos que vayan apareciendo, para evitar en la medida de lo posible, caer víctima de estos.

Y recordad: no pagar nunca el ransom.


Fuentes:

https://www.icann.org/news/blog/que-es-un-ransomware
https://www.avast.com/es-es/c-ransomware
http://www.abogacia.es/wp-content/uploads/2017/07/Guia_Ransomware.pdf
https://www.acronis.com/en-us/blog/posts/what-ransomware
0

martes, 10 de abril de 2018

Actualizar firmware de un switch Aruba



Es importante actualizar el firmware de un switch cada cierto tiempo para solucionar problemas de funcionamiento detectados en versiones anteriores y añadir nuevas características.


A continuación explicaré una de las varias formas de actualizar el firmware de un switch de la marca Aruba, compañía perteneciente a Hewlett Packard Enterprise. Concretamente, hablaré de cómo actualizar el firmware de un switch Aruba 2920 48G POE+ J9729A (la nueva gama de los conocidos HP ProCurve) pero el método es aplicable a cualquier otro switch Aruba.


Buscar última versión del firmware



Para actualizar el firmware de un switch, lo primero que debemos hacer es averiguar cuál es la última versión del firmware disponible para ese modelo. Y para poder buscar el firmware, primero debemos saber el modelo exacto de switch que estamos manejando. Para averiguar el modelo de switch al que estamos conectados, podemos usar cualquiera de estos dos comandos en la terminal:

sh modules

show tech buffers

Una vez sepamos el modelo, debemos acceder a la web del fabricante y buscar las descargas del firmware correspondientes a nuestro switch.

En el caso de Aruba HP, debemos buscar nuestro modelo de switch en la siguiente URL:

https://h10145.www1.hpe.com/support/SupportLookUp.aspx




Averiguar versión del firmware en uso



Una vez sepamos cuál es la última versión de firmware disponbile para nuestro modelo, toca averiguar qué versión de firmware está usando el switch en cuestión. Para ello, nos conectamos a la terminal del switch y ejecutamos:

show flash


Se pueden acortar los comandos en la terminal; sh equivale a show, wr mem a write memory, etc.


Dos particiones, dos firmwares



Los switches Aruba disponen de dos particiones capaces de almacenar distintas versiones de firmware: la partición primaria y la partición secundaria. Esto es así por si actualizamos el firmware primario y algo falla, podamos reiniciar el switch y arrancar desde una versión anterior del firmware situada en la partición secundaria.

Para ir sobreseguro, primero actualizaremos el firmware de la partición primaria, reiniciaremos, veremos si todo funciona ok y luego subiremos versión de la partición secundaria. De este modo, si encontramos problemas con el firmware de la partición primaria, siempre podemos arrancar desde la secundaria.

Si encontraramos algún problema usando el nuevo firmware y quisieramos reiniciar el switch y arrancarlo usando el firmware de la partición secundaria, deberíamos ejecutar:

boot system flash secondary

Hay que tener en cuenta que si actualizamos el firmware primario y este modifica la Boot ROM, por ejemplo de la versión 15.x a la versión 16.x, y la partición primaria tiene firmware 16.x y la secundaria 15.x, puede que si arrancamos desde la partición secundaria tengamos problemas. Hay que intentar mantener ambas particiones en una versión de la misma rama para evitar problemas.

También comentar que tanto si arrancamos el switch desde la partición primaria como si lo arrancamos desde la partición secundaria, la configuración se mantiene.


Requisitos de actualización



Antes de cargar nuevo firmware, debemos leernos sus "release notes" para ver si tiene requisitos de instalación, como una versión mínima de firmware necesaria antes de actualizar a ese firmware. Podemos verificarlo en al apartado "minimum software version" de las "release notes":


Ejemplo de requisitos mínimos de firmware necesarios para actualizar a una versión superior.

Si estamos por debajo de la versión mínima requerida, deberemos instalar primero la versión mínima y después la versión más reciente. En ocasiones, deben realizarse varios saltos de versión antes de poder instalar la versión más reciente.


Instalación de nuevo firmware



NOTA: antes de empezar a actualizar firmware, es conveniente crear una copia de seguridad de la configuración del switch, por si perdemos la configuración en el proceso.

Los paquetes de firmware están contenidos en archivos .swi. Para subir dichos paquetes al switch podemos usar varios métodos: TFTP, SFTP, cargarlo desde un USB... El método más sencillo para subir archivos con nuevo firmware hacia el switch, a mi parecer, es instalar un cliente TFTP en nuestro PC desde donde cargar los archivos .swi hacia el switch. En cuanto a clientes TFTP, los hay open source y los hay de pago; yo recomiendo usar un cliente open source como Tftpd.



El protocolo TFTP utilitza el puerto UDP 69, así que es necesario habilitarlo en el Firewall de nuestro sistema operativo o deshabilitar el firewall por completo mientras realizamos el proceso de actualización de firmware. Una vez hecho esto, abrimos Tftpd, seleccionamos la tarjeta de red a usar y el directorio donde tengamos el archivo .swi y ya estamos listos para enviar el firmware al switch.

Para instalar un nuevo firmware en la partición primaria del switch, debemos conectarnos al dispositivo vía puerto serie o SSH y ejecutar el siguiente comando:

copy tftp flash <ip_servidor_tftp> <nombre_de_archivo.swi> primary



A continuación, nos aseguramos que se haya cargado correctamente el nuevo firmware en la partición primaria del switch. Primary Image debería tener ahora la versión que acabamos de cargar:



Ahora podemos reiniciar el switch con el comando "reload" y luego comprobar que todo funcione correctamente. Si es así, procederemos a actualizar la partición secundaria:

copy tftp flash <ip_servidor_tftp> <nombre_de_archivo.swi> secondary



Vemos que ambas particiones tienen el mismo firmware:



Ahora sí, ya podemos actualizar a la última versión:



Actualizamos la partición primaria, probamos, reiniciamos, actualizamos la partición secundaria, reiniciamos el switch y ya estaremos en la última versión de firmware:



Observamos como, a parte de haber actualizado el firmware contenido en cada partición, la Boot ROM también ha sido actualizada a la última versión.


Fuentes:

https://sites.google.com/site/blahutajannet/hp-procurve-tutorials/display-hp-procurve-model-from...
https://h22208.www2.hpe.com/eginfolib/networking/docs/switches/common/15-18/5998-8158_bo...
4

domingo, 1 de abril de 2018

Repositorio open source oficial para SUSE Linux



Se acabaron los problemas. SUSE Package Hub nos ofrece todos los paquetes open source disponibles para openSUSE, pero preparados para su funcionamiento en SUSE Linux Enterprise.


La imagen que sirve de introducción en packagehub.suse.com es autodescriptiva.

Quien use SUSE Linux Enterprise Server habrá sufrido los dolores de cabeza que supone encontrar determinados programas para este sistema operativo. A diferencia de otros sistemas cuyos repositorios gozan de apoyo por parte de la comunidad open source, los repositorios de SLE son bastante limitados a la hora de ofrecer paquetes.

Digamos que queremos instalar nginx (un proxy reverso para mostrar un contenido u otro según la ubicación geográfica de los visitantes de una página web). Si probamos a instalarlo desde una máquina con SUSE Linux Enterprise Server 12 SP3, el sistema nos devuelve:

HOST# zypper install nginx Actualizando el servicio SUSE_Linux_Enterprise_Server_12_SP3_x86_64. Actualizando el servicio SUSE_Linux_Enterprise_Software_Development_Kit_12_SP3_x86_64. Actualizando el servicio Web_and_Scripting_Module_12_x86_64. Cargando datos del repositorio... Leyendo los paquetes instalados... nginx no se ha encontrado en los nombres de paquetes. Se realizará la búsqueda en las características. No se encuentran proveedores de nginx. Resolviendo dependencias de paquete... No hay nada que hacer.

Aquí es cuando entra en juego Package Hub. Para usarlo, pimero deberemos añadirlo a nuestro sistema. Y para añadirlo a nuestro sistema, debemos tener una suscripción de soporte activa en él.

Dicho esto, supongamos que estamos usando SLE 12 SP3 en una arquitectura AMD/Intel 64. En este caso, instalaremos el repositorio Package Hub de la siguiente manera:

HOST# SUSEConnect -p PackageHub/12.3/x86_64

Si nos falla la instalación del repositorio con un mensaje parecido a este:

HOST# SUSEConnect -p PackageHub/12.3/x86_64 command 'zypper --no-refresh --non-interactive install --no-recommends --auto-agree-with-product-licenses -t product PackageHub' failed Error: zypper returned (106) with 'Error building the cache: [SUSE_Package_Hub_12_SP3_x86_64:SUSE-PackageHub-12-SP3|https://updates.suse
.com/SUSE/Backports/SLE-12-SP3_x86_64/standard?HYfj8ca07uZJwiuda6J_UmcuV9TwMrD3NY8M_wdBPn1sUrOVVMr0wObwG8DM5mYJr
5o5yYNUDzg0sRimSVpAXeCBces4-4JreXGErHtjnPKh6sVLEYODttLopNzoxn52Vwg7dg] Valid metadata not found at specified URL Some of the repositories have not been refreshed because of an error.'

Lo podemos solucionar volviendo a registrar el repositorio por segunda vez:

HOST# SUSEConnect -p PackageHub/12.3/x86_64 Registered PackageHub 12.3 x86_64 To server: https://scc.suse.com

Después de añadir Package Hub, refrescamos los repositorios del sistema:

HOST# zypper refresh El repositorio SLES12-SP3-Pool está actualizado. El repositorio SLES12-SP3-Updates está actualizado. El repositorio SLE-SDK12-SP3-Pool está actualizado. El repositorio SLE-SDK12-SP3-Updates está actualizado. El repositorio SUSE-PackageHub-12-SP3 está actualizado. El repositorio SUSE-PackageHub-12-SP3-Pool está actualizado. El repositorio SLE-Module-Web-Scripting12-Pool está actualizado. El repositorio SLE-Module-Web-Scripting12-Updates está actualizado.

Vemos que Package Hub ya aparece como repositorio. Ahora ya podemos gozar de todos los paquetes comunitarios de Package Hub, como por ejemplo nginx.

Ahora, si volvemos a probar de instalar nginx, el sistema nos lo permitirá:

HOST# zypper install nginx Actualizando el servicio SUSE_Linux_Enterprise_Server_12_SP3_x86_64. Actualizando el servicio SUSE_Linux_Enterprise_Software_Development_Kit_12_SP3_x86_64. Actualizando el servicio SUSE_Package_Hub_12_SP3_x86_64. Actualizando el servicio Web_and_Scripting_Module_12_x86_64. Cargando datos del repositorio... Leyendo los paquetes instalados... Resolviendo dependencias de paquete... Los siguientes 3 paquetes NUEVOS van a ser instalados: libGeoIP1 nginx vim-plugin-nginx Se seleccionó automáticamente el siguiente paquete recomendado: vim-plugin-nginx The following 2 packages have no support information from their vendor: nginx vim-plugin-nginx 3 nuevos paquetes a instalar. Tamaño total de descarga: 824,0 KiB. Ya en caché: 0 B. Después de la operación, se utilizarán 2,5 MiB adicionales. ¿Desea continuar? [s/n/...? mostrar todas las opciones] (s):

Por si todo esto fuera poco, en la pasada SUSE Expert Days nos comentaron que si mucha gente busca cierto nombre en Package Hub y ese paquete no se encuentra disponible, se ponen manos a la obra para incluirlo en una siguiente actualización del repositorio.

Por último, recordar que SUSE Package Hub puede usarse en:

SUSE Linux Enterprise Server 12
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server for SAP Applications 12
SUSE Linux Enterprise Server for Raspberry Pi

Más información en https://packagehub.suse.com
0