miércoles, 26 de junio de 2019

Documental: Los nuevos mercenarios rusos



Navegando por internet, me crucé con un documental de arte.tv titulado Los nuevos mercenarios rusos, el cual habla sobre "los hackers rusos", es decir, gente que vive en Rusia y accede a sistemas informáticos ajenos para obtener información confidencial.

El documental empieza con uno de los periodistas yendo a una escuela francesa donde se enseña a niños de 4º de primaria (9 años) a conectarse a máquinas por SSH y a programar en Arduino. Pretende hacernos ver que las generaciones que vienen son nativas digitales y que ya mismo, los niños de cualquier país empiezan su adiestramiento en irrupción a sistemas ajenos desde bien pequeños.


Momento estelar del documental. Niño explicándole al periodista lo que es una shell. Este niño llegará lejos.

De niños pasan a jóvenes. Uno de los periodistas va a casa de un hacker francés el cual asegura que el FBI, así como agencias varias de otros países, trató de reclutarlo.


El chaval asegura que el FBI (agencia gubernamental norteamericana) le ha llegado a ofrecer trabajo (a él, un joven francés) en asuntos de ciberseguridad. No se por qué, no lo acabo de ver claro.

Este individuo, además, dice haber hackeado a un hacker ruso. Y esto nos sirve como punto de entrada a la comunidad hacker rusa. En los siguientes minutos, se muestra el corazón del movimiento hacker en Rusia: los foros, donde se compra y vende información y malware por miles de dólares.


$50.000 por los nombres y cuentas de varios millonarios africanos, información vendida en un foro ruso.

A través de un abogado especializado en hacking, los reporteros se ponen en contacto con un hacker condenado por robo de tarjetas de crédito al que aún a día de hoy busca EEUU: Sergey Pavlovich.


El tipo no se puede quejar: cuenta cómo ganaba más de $100,000 al mes con el robo de tarjetas y cómo se los gastaba en prostitutas, entre otras cosas. Eso da para muchas prostitutas. Espero que esté bien de salud.

Más adelante, se habla de presuntos ciberataques de Rusia a Ucrania, más concretamente a su infraestructura estatal: centrales térmicas, metro, bancos... Lo más interesante del asunto es que aparece en pantalla un oficial del departamento de ciberseguridad ucraniano diciendo que Ucrania dispone de una unidad de hackers llamada "Ciberalianza", formada por civiles, que se dedica - según sus miembros - a hackear a estamentos gubernamentales de Rusia.

En Rusia, a su vez, se promueve el hackeo de infraestructuras extranjeras con eventos como Positive Hack Days. En este evento, se anima a los asistentes a piratear contadores de la luz, a modificar rutinas en software para fábricas, a acceder a PCs, etc.


Uno de los hobbies de la juventud en Rusia parece ser hackear cajeros automáticos.

Un hacker ruso llamdo Konstantin Kozlovsky aparece en el documental asegurando, desde una sala de un tribunal ruso, haber sido reclutado de joven por el FSB ruso y haber sido contactado para manipular las elecciones de EEUU. Tras hacerlo y haberlo revelado públicamente, fue detenido y encarcelado.

Putin no niega que Rusia use hackers para espiar a otros países. Es más, compara el ciber terrorismo con la boma atómica. Dice que hay que fijar reglas para su uso del mismo modo que se fijaron para el uso de bombas atómicas. Y en una entrevsta a su asesor en cibrseguridad, este dice que al no haber reglas aún en este tema, cada nación es libre de espiar a quien quiera.


Michael Hayden dice que si cuando era director de la NSA se le hubiera preguntado qué hacer en caso de haber obtenido acceso al correo del partido de Putin habría dicho: ¡cójalo! Al menos, es un tipo sincero.

Por último, el ex-presidente de la NSA y de la CIA Michael Hayden dice que Rusia no debería negar que hackeó a Hillary Clinton. Que debería ser USA quien se avergonzara de haber sido hackeada.
0

miércoles, 19 de junio de 2019

Borrar archivos más antiguos de X días en Linux



Cómo borrar todos los archivos de una carpeta creados hace más de X días en un sistema Linux.



Supongamos que tenemos un script corriendo en un sistema operativo Linux cuya función es conectarse a un dispositivo y exportar un backup de su configuración para guardarlo en local.

Si ejecutamos dicho script a diario, el sistema de archivos donde se guarden dichos backups se llenará de archivos, lo cual provocará que, a la larga, el disco duro llegue al 100% de ocupación y el sistema operativo deje de funcionar. Para evitar este problema, podemos usar un comando que vaya eliminando archivos cuya fecha de creación sea más antigua de X días. Dicho de otra forma, vamos a ver cómo realizar rotación de backups estableciendo un período de retención de X días.


Comando



Podemos eliminar archivos más antiguos de X días mediante el comando find:

HOST# find /ruta/ -type f -mtime +10 -delete

Analicemos sus parámetros:

• find: invocamos el comando find para buscar archivos.
• /ruta/: ruta absoluta hacia el directorio donde se encuentran los archivo a eliminar.
• -type f: solo eliminar archivos (sino, se eliminarían también directorios).
• -mtime +10: eliminar archivos cuyo contenido no haya sido modificado en más de 10 días.
• -delete: eliminar los archivos que cumplan las condiciones anteriormente descritas. Este parámetro siempre debe ir al final de la cadena de parámetros.


Opciones adicionales



Opcionalmente, podemos añadir estos parámetros (y más):

• -mindepth 1: procesar todos los directorios por debajo de la ruta absoluta, excepto los de la ruta en sí.
• -maxdepth X: solo eliminar archivos hasta X niveles (carpetas) por debajo de la ruta absoluta.
• -name "*.bak": eliminar solamente archivos con extensión .bak.


Alternativa



Alternativamente, podríamos usar el comando find con el parámetro -exec si la opción -delete no estuviera disponible en el sistema operativo o la shell que estemos usando.

Para usar la opción -exec, debemos invocarla de la siguiente manera:

HOST# find /ruta/ -type f -mtime +10 -exec rm {} \;

Decir que con este parámetro tendremos problemas si los nombres de archivo tienen espacios, comillas, etc. por lo que es aconsejable usar la opción -delete en vez de -exec rm {} \; a la hora de invocar el comando find para eliminar archivos, siempre que sea posible.


Reflexión final



Antes de usar la opción -delete no estaria de más ejecutar el comando sin esa opción, lo cual nos mostrará por pantalla la lista de archivos que encuentra. Una vez hayamos configurado opciones como mindepth, name y type a nuestro gusto y hayamos verificado qué archivos se van a eliminar, ya podemos usar -delete para eliminar esos archivos de forma segura.


Fuentes:

https://unix.stackexchange.com/questions/194863/delete-files-older-than-x-days
https://www.geeksforgeeks.org/mindepth-maxdepth-linux-find-command-limiting-search-specific...
3

miércoles, 12 de junio de 2019

Fortinet Threat Map



FortiGuard Labs es un departamento Fortinet compuesto por más de 200 investigadores y analistas que trabajan con herramientas y tecnología desarrolladas internamente para descubrir y estudiar amenazas de ciberseguridad. Siempre están buscando nuevas tácticas y técnicas de ataque que luego usan para crear estrategias de mitigación de amenazas en los firewalls FortiGuard, el producto insíngia de Fortinet.

El equipo de investigación de amenazas cuenta con expertos dedicados que estudian todas las áreas críticas de la ciberseguridad: malware, botnets, dispositivos móviles y vulnerabilidades zero days. Estos descubrimientos se comparten en el portal de FortiGuard Labs.

Los analistas de servicios estudian el código malicioso y desarrollan firmas de mitigación, mientras que los desarrolladores de tecnología actualizan continuamente los motores de protección de seguridad a nivel mundial para combatir las amenazas mediante los servicios de FortiGuard.

A través de los sistemas de detección de intrusiones (IPS), Fortinet alimenta un mapamundi on-line que muestra los ciber ataques que se están produciendo alrededor del mundo en tiempo real:



URL: http://threatmap.fortiguard.com

Si echamos un vistazo más de cerca al detalle de los ciber ataques que se están produciendo, veremos qué sistemas se están tratando de explotar y en qué país:



Si clicamos sobre un país, veremos el detalle de su actividad:



El tipo de ataque se diferencia por color:



Por último, decir que es bastante hipnótico mirar este mapa, aunque bajo mi punto de vista, no estaría de más algo más de información en la vista general o al clicar un país.


Fuentes:

https://www.fortiguard.com
https://www.fortinet.com/fortiguard/threat-intelligence/threat-research.html
1

miércoles, 5 de junio de 2019

Importar nuevo firmware a un Sonicwall vía CLI



Cómo averiguar el modelo de un Sonicwall vía cli, como averiguar la versión de firmware instalada en un Sonicwall y cómo subir una nueva versión de firmware a un Sonicwall via cli (SSH).



En otra entrada ya expliqué cómo actualizar el firmware de un Sonicwall vía interfaz gráfica. En esta ocasión, explicaré cómo actualizar el firmware de un Sonicwall vía cli (SSH).

Para empezar, nos conectamos al Sonicwall por SSH. Una vez en la terminal, debemos averiguar qué modelo de Sonicwall estamos administrando y qué versión de firmware está instalada en ese dispositivo. Podemos ver esta información usando el comando show version:

admin@18B16956> show version firmware-version "SonicOS Enhanced 5.9.1.10-1o" rom-version 5.0.6.0 model SOHO serial-number XXXX-XXXX-XXXX system-time "06/05/2019 13:23:09.640" system-uptime "76 Days, 0 Hours, 32 Minutes, 43 Seconds" last-modified-by "admin 192.168.1.2:X0 UI 05/21/2019 17:00:39"

A continuación, creamos las "backup settings" vía cli. Estas backup settings son una copia de la configuración del Sonicwall que el dispositivo cargará al iniciarse con el nuevo firmware.
Las backup settings solo se pueden crear en modo config.

admin@18B16956> configure config(18B16956)# firmware backup Backup Settings created successfully

En este punto, debemos habernos descargado un archivo .sig con la última versión de firmware liberada para el modelo en cuestión. Este archivo está disponible en www.mysonicwall.com. Una vez tengamos el archivo .sig, lo subimos a un servidor con FTP habilitado y lo importamos en el Sonicwall:

admin@18B16956# import firmware ftp ftp://user:password@192.168.10.11/firm.sig % Downloading firm.sig from FTP server at 192.168.10.11... % Download complete. 14954252 bytes read. % Firmware uploaded successfully. % Activate Uploaded Firmware by executing the 'boot' command.

Una vez se haya subido el archivo, reiniciamos el dispositivo con el nuevo firmware:

admin@18B16956# boot uploaded Are you sure you wish to restart? [cancel]: yes

Cuando se haya reiniciado el dispositivo, podremos ver que está en la última versión:

admin@18B16956> show version firmware-version "SonicOS Enhanced 5.9.1.12-4o" rom-version 5.0.6.0 model SOHO serial-number XXXX-XXXX-XXXX system-time "06/05/2019 13:33:19.640" system-uptime "0 Days, 0 Hours, 12 Minutes, 33 Seconds" last-modified-by "admin 192.168.1.2:X0 UI 06/05/2019 13:30:39"

En este momento ya tenemos el Sonicwall actualizado.


Fuentes:

https://www.sonicwall.com/support/knowledge-base/?sol_id=170505533052286
https://www.sonicwall.com/support/knowledge-base/?sol_id=170503555701786
0