Rápida reflexión sobre seguridad y IoT

Hola Mundo:

En los últimos 2 ó 3 años hemos visto como han ido creciendo el desarrollo de las tecnologías que se conectan directamente a internet y aportan datos de todo tipo. Ya es cada vez más común que los electrodomésticos se conecten a Internet y muchas personas estén experimentando con dispositivos y componentes cada vez más baratos que apoyan en la lectura de variable y automatización de procesos.

Es entretenido ver a adultos jugando como niños al construir sus proyectos con Arduino o Raspberry Pi o algún otro hardware y construyendo piezas de software exclusivos para el sistema.

El principal problema está en que no se trabaja con un equipo con roles definidos, donde cada uno se encargue de las distintas variables de un sistema: red, administración, seguridad, procesos, etc.
Es momento de tomar conciencia y hacerse responsable de todo lo que conectamos a internet.

Esto nace del conocido ataque DDoS al servicio Dyn del pasado viernes, donde se descubrió que el ataque venía del Botnet Mirai. Este botnet se aprovecha de los dispositivos sencillos conectados a internet o que forman parte de algún sistema IoT.

Existen decenas de herramientas gratuitas y de código abierto que apoyan en el monitoreo de recursos y detección de intrusos que permitirían apoyar en la seguridad de los entornos.

Aparte de las herramientas externas para el monitoreo de nuestra solución, también se deben revisar constantemente las actualizaciones del firmware de nuestro dispositivo o del sistema operativo que esté utilizando. Es altamente recomendable unirse a las listas de distribución del dispositivo para estar  enterado de las actualizaciones del componente.

El llamado es a trabajar en equipo y a estudiar más allá del desarrollo del proyecto en si, siendo responsable de las «cosas» que conectamos a internet.

Mas información:
http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/
https://en.wikipedia.org/wiki/2016_Dyn_cyberattack
http://www.zdnet.com/article/the-dyn-report-what-we-know-so-far-about-the-worlds-biggest-ddos-attack/

Un abrazo a todos y sigamos desarrollando!

Navega Anónimo con Tor Browser

Hace un par de años, escribí como usar Tor en Windows . En el post hablaba sobre como configurar tor para poder usarlo en Windows y navegar de forma anónima.

Quizá instalar los componentes por separado sea incómodo y engorroso. Peor aun, configurar el proxy y después dejarlo como estaba cuando lo único que queríamos era navegar de forma anónima o pasar por la red de tor.

Menos mal que hace algún tiempo existe un paquete que contiene  todo listo para llegar y usar.  Contiene un navegador ya configurado y todo corriendo para tenerlo en el equipo o llevarlo en un flash drive a cualquier parte.

Está disponible para Windows, MacOSX y Linux. En este link: https://www.torproject.org/projects/torbrowser.html están todas las opciones de descargas (donde podemos escoger el idioma) y están las instrucciones para cada sistema.

¡Ya no hay excusa para no probar Tor!

Respaldar Certificado en SQL Server

Hola gente, el día 14 de febrero publiqué un post pequeño sobre Cifrado de bases de datos en el que hablaba, justamente, como cifrar bases de datos. En el proceso creaba una master key y un certificado. En este pequeño post crearé un backup del certificado para que luego pueda ser importado en otra base de datos.

En una base de datos creada para este propósito, creé un certificado de esta manera:


USE TEST_Certificado;
CREATE CERTIFICATE MiCertificado_TEST
ENCRYPTION BY PASSWORD = '123456'
WITH SUBJECT = 'Prueba de Certificado',
EXPIRY_DATE = '20121031';
GO

El certificado fue creado en la base de datos TEST_Certificado y el certificado se llama MiCertificado_TEST. La clave es super segura y expira el 31 de octubre de este año.
En una nueva ventana de consultas, utilicé este código para respaldar el certificaco en el directorio que se indica:

USE TEST_Certificado
BACKUP CERTIFICATE MiCertificado_TEST TO FILE='C:Program FilesMicrosoft SQL ServerMSSQL11.MSSQLSERVERMSSQLBackupMiCertificado_TEST';
GO

Tambien se puede exportar certificado con clave privada con su respectiva clave de descifrado:

BACKUP CERTIFICATE MiCertificado_TEST TO FILE = 'C:Program FilesMicrosoft SQL ServerMSSQL11.MSSQLSERVERMSSQLBackupMiCertificado_TEST_2'
WITH PRIVATE KEY (DECRYPTION BY PASSWORD='123456', FILE = 'C:Program FilesMicrosoft SQL ServerMSSQL11.MSSQLSERVERMSSQLBackupMiCertificado_TEST_k' ,
ENCRYPTION BY PASSWORD = '123456' );
GO

No te pierdas la próxima entrega, en la cual mostraré como importar un certificado.

Saludos

Cifrando base de datos con TDE

Transparent Data Encryption es una característica que está disponible en SQL Server desde la versión 2008 y, obviamente, estará disponible en la futura versión 2012.

TDE realiza encriptacion y desencriptación de datos en tiempo real de los archivos de la base de datos (físicos) y de los archivos de log. La encriptación utiliza una clave de encriptación de base de datos (Desde ahora en adelante, DEK) que es almacenada en el registro de arranque de la base de datos, para que pueda estar disponible durante una recuperación.

Ejemplo:

Se tiene una base de datos llamada Prueba  con una tabla llamada Registro y tiene los siguientes datos:

Datos de la tabla Registro
Datos de la tabla Registro

Si realizo un respaldo de la base de datos:

  • Botón secundario en la base de datos
  • Tasks -> Back Up…

Y navego hasta la ruta C:Program FilesMicrosoft SQL ServerMSSQL11.MSSQLSERVERMSSQLBackup y abro el respaldo que recién generé con el bloc de notas, puedo encontrar la información:

<>Vista en Notepad
Vista en Notepad

Se puede ver los datos almacenados. Es más, entrega mucha información relevante sobre el sistema.

Ahora encriptemos la base de datos ( y de pasada, borramos el respaldo anterior). Para encriptar la base de datos se siguen los siguientes pasos:

  1. Crear la master key
  2. Crear u obtener un certificado protegido por la master key
  3. Crear un DEK y protegerla con el certificado
  4. Setear la base de datos para la encriptación.


USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD='Password@1';
GO
CREATE CERTIFICATE MiCertificado WITH SUBJECT='Mi certificado DEK';
GO
USE prueba;
GO
CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_128 ENCRYPTION BY SERVER CERTIFICATE MiCertificado;
ALTER DATABASE Prueba SET ENCRYPTION ON;
GO

TDE cifra hasta los respaldos que se pueden generar. Al crear uno y abrirlo con el notepad y buscar algun registro (como en el ejemplo anterior), arrojará un error:

Vista desde notepad del respaldo de una base de datos cifrada
Vista desde notepad del respaldo de una base de datos cifrada

Cabe recordar, que este proceso es transparente para las aplicaciones que funcionan sobre SQL Server.

Saludos!

Phishing: Crees que caeremos? Iluso!

Llegue recien a mi casa y abro mi correo electronico y me llega lo siguiente:

Estimado usuario de cuenta de correo electrónico,

Este mensaje es de su administrador de correo electrónico /
centro de mantenimiento de cuenta de correo electrónico a todos los usuarios.
Ahora somos la mejora de nuestra base de datos y correo electrónico debido a centro
actividades identificadas inusual en nuestro sistema de correo electrónico.
Por lo tanto, nos está borrando todos los identificados e-mail
cuentas para mejorar y crear espacio para otras nuevas.

Usted está obligado a verificar por su cuenta
correo electrónico confirmando su identidad. Esto evitará que su
cuenta de correo electrónico de la terminación durante este ejercicio.

A fin de confirmar su dirección de correo electrónico de identidad, se le a
proporcionar los datos solicitados a continuación:

Nombre:
Apellido:
Nombre de usuario / ID:
Contraseña:

* Importante *
Sírvase proporcionar toda esta información completa y correctamente
de otro modo, por razones de seguridad que puede tener que desactivar
su cuenta temporalmente.

Si leemos bien las cabeceras:

Delivered-to: max@debianchile.cl
Recibido: by 10.231.34.200 with SMTP id m8cs168420ibd; Thu, 23 Apr 2009 14:30:57 -0700 (PDT)
Recibido: by 10.224.54.83 with SMTP id p19mr2072019qag.97.1240522256871; Thu, 23 Apr 2009 14:30:56 -0700 (PDT)
Return-path:
Recibido: from tctelco.net (mail.tctelco.net [63.245.131.69]) by mx.google.com with ESMTP id 4si1374285yxq.8.2009.04.23.14.30.55; Thu, 23 Apr 2009 14:30:56 -0700 (PDT)
Received-spf: softfail (google.com: domain of transitioning upgradeteam.beeta1@live.com does not designate 63.245.131.69 as permitted sender) client-ip=63.245.131.69;
Authentication-results: mx.google.com; spf=softfail (google.com: domain of transitioning upgradeteam.beeta1@live.com does not designate 63.245.131.69 as permitted sender) smtp.mail=upgradeteam.beeta1@live.com
Recibido: from 63.245.131.69 [63.245.131.69] by tctelco.net with ESMTP (SMTPD-9.23) id AD0739E8; Thu, 23 Apr 2009 16:26:31 -0500
Fecha: Thu, 23 Apr 2009 21:26:31 GMT (17:26 CLT)
Mime-version: 1.0
De: Centro de mantenimiento de correo electr?nico
Asunto: Verificar su cuenta de correo electrónico ahora!
Content-type: multipart/mixed; boundary=»————Boundary-00=_N3V1VNNIL5SY7N4W4OVN»
Message-id: <200904231626778.SM03280@[63.245.131.69]>
X-evolution-source: pop://max%40debianchile.cl@pop.gmail.com/

El remitente del correo electronico no tiene ningun relativo a Live.com ni mucho menos a Microsoft.
Estimados, este correo es phishing. No contesten a el, marcarlo como spam automaticamente. No caiga en la trampa. Ninguna empresa le pediria su password del correo electronico.