Programación

Una pizca de recuerdo: PCJFWD, forwarding de mensajería para BBS

Hace poco hablamos con un amigo sobre los inicios de cada uno y entre recuerdos que van y otros que vienen pasó el de PCJFWD, una herramienta de forwarding de mensajería entre BBSs a través de Packet Radio, utilizando AX.25.

Fua, qué muchas siglas, vamos explicando algunas de ellas para poder introducirnos en el recuerdo.

Packet Radio: Es un sistema de comunicación digital que se comunica a través de paquetes que son emitidos vía radio. Sistema muy utilizado (en su momento fue un auge) por los radioaficionados.

AX.25: Protocolo de comunicación por paquetes, se utilizó el X.25 y se rediseña para radioaficionados (Packet Radio), para transformarse en AX.25 (Amateur X.25).

BBS: El sistema de BBS que utilizamos entre radioaficionados era un poco diferente al que se utilizaba con acceso telefónico, nosotros lo hacíamos por radio VHF (hablaremos mas adelante del tema). Básicamente consistía en un sistema de intercambio de mensajes (personales y públicos) entre los diferentes BBS para poder difundir información o lo que fuese.

Seguir leyendo…

Impresionante rendimiento de RouterOS v7 y BGP

Se está viralizando un video creado por los amigos de TheBrothers WISP, en donde están probando la versión v7 de RouterOS, mas precisamente la v7.0beta99.

El video muestra un CCR 1016 en donde tiene peering con 6 peer BGP, en donde maneja mas de 3.5 millones de rutas y le lleva alrededor de 3 minutos procesarlas. Se puede apreciar el buen rendimiento del nuevo motor de BGP que está preparando MikroTik, con soporte multicore.

A medida que van cargando las rutas, la carga del CPU se reparte en los cores y aunque llegan al 100%, puede procesarlas sin inconvenientes.

Habrá que esperar que es lo que nos depara MikroTik en esta nueva versión de RouterOS v7, que al parecer, el unicornio (como le llaman a la v7) ya esta apareciendo y ya está dejando de verse algo lejano.

Usas IPv6 con MikroTik RouterOS. Cuidado!

Hace un par de días se ha hecho público que existe una vulnerabilidad en MikroTik RouterOS, la CVE-2018-19298 (MikroTik IPv6 Neighbor Discovery Protocol exhaustion).

Mientras se realizaba una investigación sobre dicha vulnerabilidad, se encontraron con un gran números de problemas en cómo RouterOS maneja los paquetes IPv6. De esto se desprende la CVE-2018-19299, la cual aún no ha sido publicado y que aún no está solucionada.

Marek, un investigador de seguridad, ha publicado en su cuenta de Twitter, que le ha comunicado a MikroTik sobre dicha vulnerabilidad hace más de 50 semanas y que aún no se tiene una solución al respecto.

El gran problema que existe, es que el 9 de abril se realizará la UKNOF43, un forum de operadores de redes del Reino Unido y en dicho evento Marek expondrá y publicará un gran número de vulnerabilidades con respecto a IPv6 y RouterOS, de hecho el título de su presentación es «Scanning IPv6 Address Space… and the remote vulnerabilities it uncovers«.

During some research which found CVE-2018-19298 (MikroTik IPv6 Neighbor Discovery Protocol exhaustion), I uncovered a larger problem with MikroTik RouterOS’s handling of IPv6 packets. This led to CVE-2018-19299, an unpublished and as yet unfixed (despite almost one year elapsing since vendor acknowledgement) vulnerability in RouterOS which allows for remote, unauthenticated denial of service. Unpublished… until UKNOF 43!

https://indico.uknof.org.uk/event/46/contributions/667/

Me comunique con uno de los técnicos que está investigando el tema (que es trainer de MikroTik) y me comentó que es un gran problema, porque con un solo paquete IPv6 malformado se puede atacar a cualquier RouterOS con el paquete IPv6 activo, y más aún si trabaja como router, porque al recibir el paquete malformado, lo reenvía (forward) y se reinicia (crashea), logrando un ataque en cadena.

Esto no es un ataque de DDoS porque no se requiere un gran volumen de tráfico, con sólo un paquete malformado es posible realizar un ataque en cadena, reiniciando todos los routers que se encuentran en el camino (MikroTik RouterOS con IPv6 activo).

Cómo mencione anteriormente, el descubridor de estas vulnerabilidades se ha comunicado con MikroTik hace más de 1 año y aún no ha tenido otra respuesta mas que «lo arreglaremos«. Han sido publicada más de veinte release de RouterOS desde que MikroTik tiene conocimiento del problema y no ha sido corregido.

La cuenta regresiva ha comenzado, porque el 9 de Abril se harán públicas las vulnerabilidades y, si no ha sido corregida, puede armar un desastre a nivel global.

Hay un hilo en el foro de MikroTik en donde los usuarios están comentando del tema y exigiendo a MikroTik que tome cartas en el asunto y publiqué una solución antes de la fecha límite.

Estaré publicando cualquier novedad al respecto. Esperemos que todo salga bien.

UKNOF presentation where this issue will be disclosed in full: https://indico.uknof.org.uk/event/46/contributions/667/
CVE reporthttps://cve.mitre.org/cgi-bin/cvename.c … 2018-19299

MUM Argentina 2018: Utilizando RouterOS como IPS/IDS (II)

La semana pasada se realizó el MikroTik User Meeting en Buenos Aires, Argentina.

La verdad que la pase muy bien, me pude reencontrar con muchos amigos de todos lados. La ventaja que tiene este tipo de evento es que eso, el poder juntar en un solo lugar muchas personas del palo. 

Asistieron casi 500 personas de acuerdo a lo que comentaron los chicos de MikroTik, si bien hubo una gran afluencia en el lugar, hubo un déficit con la cantidad de expositores. Se tuvo que alargar el inicio del evento a las 10 de la mañana y finalizarlo a las 16 horas aproximadamente, debido a que faltaron expositores.

Esperemos que para la próxima se puedan animar a participar y que sobren presentaciones –como sucede en Brasil que dejaron fuera casi 20 presentadores porque estaban completos los «slots time«-, así puede continuar con 2 días de duración, sino en un futuro serán de 1 solo dia los MUM en Argentina, como sucede en los países que tienen poca cantidad de oradores.

He consultado a varios que sé que tienen algo que compartir por su experiencia, él porqué no se animaban a dar alguna charla de algo que pueda servir a la comunidad o algunas buenas prácticas y la respuesta suele ser la misma; el miedo a que te pregunten algo y no saber qué responder. 

Mi respuesta para eso, es que no se viene a dar una clase o a que te tomen un examen, sino que se viene a compartir una experiencia en base a nuestro trabajo; que otras personas pueden haber resuelto de manera diferente lo mismo pero ese no es el punto, lo que importa es el compartir para poder difundir y de esa manera también tener retroalimentación escuchando otras vivencias.

En fin, esperemos que para la próxima se animen más.

Les dejo a continuación el PDF con la charla que di sobre «Utilizando RouterOS como IPS/IDS (II)«, la cual es la continuación de la presentación que dí en el MUM de Paraguay en el 2017.

En los próximos días estaré agregando el video de la presentación cuando esté disponible.

MUM ARGENTINA 2018 – Utilizando RouterOS como IPS / IDS (II)

 

 

Nuevas variantes de ataque a MikroTik RouterOS vulnerables

En estos últimos meses se han producido diferentes tipo de ataques que se aprovechan de algunas vulnerabilidades del RouterOS y que están haciendo estragos a nivel seguridad.

Varios son los tipos de exploit / ataques que se tienen, de los más extendidos son los que se aprovechan del acceso al router para hacer minería. La forma de trabajar es redireccionando la navegación al webproxy interno del MikroTik y éste a su vez inyecte cierto código en la página web que «ordene» a nuestro dispositivo a realizar minería via Coinhive, Coinimp entre otros.

Ejemplo de código inyectado.

Un monitoreo de Bad Packets LLC utilizando datos de Shodan y Censys encontró que hay de más 250.000 routers MikroTik comprometidos.

Otra metodología que está empleando es la de engañar al usuario indicando que se tiene un navegador (browser) desactualizado y lo invita a descargar la actualización. Dicha descarga es un archivo ejecutable que compromete nuestra pc. 

Al día de hoy (12 de Octubre) a través de las estadísticas de Censys hay alrededor de 11.000 routers MikroTik comprometidos con la página «fake» de descarga del actualizador del browser.

Es increíble la cantidad de dispositivos que están desprotegidos y es por eso que un «hacker bueno» de Rusia está tomando cartas en el asunto y está realizando una campaña para proteger los routers que se encuentran comprometidos para evitar que se sigan atacando.

Según lo que ha comentado en la entrevista realizada por ZDNet, este amigo ha protegido cerca de 100.000 usuarios. Al momento de ingresarles les deja unas reglas de firewall indicando que «se han agregado reglas de protección para evitar el acceso externo y que si desea realizar algún comentario se comunique vía el canal de Telegram @router_os»; pero solamente se contactaron 50 personas.

Cómo hemos mencionado, este tipo de ataque se realiza explotando una vulnerabilidad que ha sido solucionada en MikroTik desde hace meses. El problema que se ha presentado y en el que  se deberá trabajar para evitar algo similar en el futuro, es que empresas que venden routers o administradores que descuidan los mismos, no toman precaución de actualizar el sistema operativo de los dispositivos para evitar este tipo de ataque.

Se puede utilizar el sitio http://checkmyrouter.mkesolutions.net para conocer si nuestro router es vulnerable y es mandatorio actualizarle el sistema operativo.

Más información en BadPackets, Malwarebytes y RedesZone.

Pornhub lanza su servicio de VPN gratuito llamado VPNHub

Uno de los sitios mas populares de videos pornos (PornHub)  ha lanzado su servicio propio de VPN, que según comenta, permitirá saltarse de restricciones y poder disfrutar de anonimato mientras se navega por internet.

En el sitio oficial se comentan las características del servicio y se menciona que ahora es posible ocultar tu información y navegar en internet sin dejar rastros. La VPN le permite tener privacidad ya que utiliza encriptación para la transferencia de la información.

Otra característica del servicio, es que le permite a uno elegir desde que país quiere navegar, algo que también permite saltarse de restricciones de algunos sitios que restringen el contenido de sus servicios a ciertos países. Se me viene a la cabeza lo que era en su momento last.fm que sólo estaba disponible para EE.UU..

La aplicación viene disponible para todos los sistemas operativos, tanto smartphones como desktop con Windows o MacOs:

Hay que mencionar que la privacidad nunca es 100% como tal, se han dado casos anteriores, en donde servicios que pregonaban con privacidad terminando proporcionando información de trazabilidad cuando venia una orden judicial, algo que esta bien que suceda, sólo que el anonimato no era tal, porque dejaba trazabilidad.

En fin, otra opción mas de VPN para el caso que alguna vez se requiera.

VPNHub.

Welcome Back! versión v2018

Hola de nuevo!. Ha pasado mucho tiempo desde la última vez que postee. Luego de este lapso, me he propuesto volver a darle vida al blog.

Durante este tiempo muchos amigos, principalmente en los MUMMikroTik User Meeting– me han estado consultando porque no escribía y la realidad como les comentaba a ellos, es que me ha sido difícil tener la disponibilidad hacerlo. Entre el trabajo y la familia, casi no tengo tiempo para las actividades de ocio entre ellas el blog.

Ya hace mas de un año que se largo el desarrollo de Oráculo y me he dedicado casi de lleno a ello. Es un software de monitoreo, que a mi entender, está bastante completo en relación a las necesidades de monitoreo en general y su interacción es directa. En un post posterior detallaré las bondades de la herramienta.

Retomando el tema del blog, le he cambiado el aspecto y le estaré agregando algunas funcionalidades para complementarlos con los canales de MKE Solutions y AcademiaDeEntrenamientos para sumarle mas contenido al mismo.

El mes pasado éste blog cumplió 14 años de vida y desde entonces ha estado online ininterrumpidamente. Es un largo camino que ha tenido con sus altas y bajas de actividades.

Anoche me puse a releerlo un poco y me he encontrado con mucha información interesante que la he tenido olvidada y  hasta encontré un post que me resolverá una necesidad que tengo para un servicio de address list, que ya lo tiene comentado.

En fin, intentaré volver al rollo y escribir en una series de post un resumen de las actividades con relevancia que ha sucedido durante este año de inactividad.

2018, allá te voy.

 

 

Presentación MUM Asunción, Paraguay 2017

Hace una par de semanas asistí al MikroTik User Meeting de Asunción del Paraguay que se realizó a finales de Julio.

Allí hable sobre como «Utilizar MikroTik RouterOS como IPS» utilizando varias herramientas de código abierto.

Una de ellas es Suricata y las otras son dos proyectos que he creado en GitHub que son:

IPS-MikroTik-Suricata: Módulo que se conecta a la DB del Suricata en búsqueda de ciertos patrones y al encontrarlo, agrega el IP Address atacante a un Router MikroTik vía API.

WebPanel-IPS-MikroTik-Suricata: Webpanel para administración del modulo conector.

La presentación la pueden descargar en PDF y el video puede ser visto desde el canal de Youtube de MikroTik.

Wikileaks, la CIA y la seguridad

El día 7 de Marzo Wikileaks publico una serie de documentos en donde menciona diferentes herramientas que fueron creadas por la CIA que permite acceder a diferentes sistemas operativos como Windows, MacOS, Linux Solaris, MikroTik RouterOS entre otros.

En el caso de MikroTik, la vulnerabilidad viene por el servicio HTTPD el cual permite al exploit «ChimayRed» que pueda inyectar código malicioso al RouterOS.

Hasta que Mikrotik brindó su comunicado oficial, lo que recomendaba era cerrar el puerto del servicio www, generalmente en el 80, con firewall para que solo pueda ser accedido de redes confiables.

Luego de un par de horas, MikroTik publico su versión oficial del hecho, en donde comenta que están investigando el caso y que con la información que puso a disponibilidad Wikileaks logro aplicar un arreglo para paliar la supuesta vulnerabilidad encontrada, -que por cierto según el informe de Wikileaks solo afecta a las versiones anteriores a la v6.30.2-, y dicho arreglo verifica y restaura la estructura interna de los archivos y fue aplicado en las versiones v6.38.5 y v6.37.5 con el siguiente fix:

*) filesystem – implemented procedures to verify and restore internal file structure integrity upon upgrading;

La respuesta de MikroTik a la incidencia fue muy rápida en relación a otros vendors que si bien aún no han anunciado el arreglo, si han publicado diferentes documentos sobre sus investigaciones. El que me llamó la atención fue al nivel de detalle que brindo Cisco, en donde en su reporte informa que:

De acuerdo al análisis preliminar de acuerdo a los documentos publicados se tiene:

  • El malware existe y parece afectar a diferentes tipos de dispositivos de Cisco, entre ellos routers y switches.
  • El malware una vez instalado en el dispositivo Cisco, parece proveer un rango de funcionalidades como ser: data logging, data exfiltration, ejecutar comandos con privilegios administrativos y sin dejar ningún registro de dichos comandos ejecutados), html traffic redirection, manipulation and moficitation (insertar código html), DNS posoning, etc.
  • Los autores parecen haber gastado una gran cantidad de tiempo asegurando que las herramientas, una vez instaladas, intenten mantenerse ocultas a la detección y análisis forenses.
  • Los autores han gastado gran cantidad de recursos en la calidad de los testeos, ya que una vez instalado el malware no causan crash en el sistema.

Como se puede apreciar, uno de los principales objetivos de este «ataque de la CIA» fue Cisco y puede leerse en el Wikileaks relacionado.

Algunos usuarios de los foros indican que los tiempos de actualización y parche de Cisco ante este tipo de eventos suele ser tardía y que quienes tienen acceso a ellas a tiempo son principalmente los que tienen el soporte pago, a diferencia de MikroTik que ha publicado rápidamente para todo el mundo su parche.

En fin, son diferentes posturas subjetivas de los usuarios, lo cierto es que ha habido una movida general de los involucrados para tomar alguna medida correctiva a este malware que complica la seguridad de todo el mundo.

MUM Guatemala 2017: Suricata y FastNetMon

Hace un par de semanas se celebraron los primeros MUM -MikroTik User Meeting- del año, ésta vez fue en Ciudad de Guatemala y Bogotá.

Pude brindar mi presentación (charla) en el MUM de Guatemala (que dicho sea de paso, fue el día de mi cumpleaños), que hablé de como implementar un sistema de protección de ataque DDoS y un IPS / IDS con Suricata.

La verdad que la repercusión que tuvo mi charla fue mayor a lo que esperaba, he tenido contactos de usuarios de varios países que me felicitaban por la presentación y aportaron algunos consejos o sugerencias para que pueda mejorar la charla en un futuro.

Me enfoque principalmente en como utilizar Suricata para poder detectar intrusiones a través de las alertas de la aplicación y luego poder tomar alguna acción con dicha intrusión.

También hable de FastNetMon, de cómo protegerse de ataques DDoS y como podemos interactuar a través de un API con RouterOS para poder bloquear dicho ataque.

Creo que la repercusión de la charla fue debido a que Pavel, el creador de FastNetMon, twitteo mi charla y de ahi sus seguidores hicieron sus comentarios.

Pueden descargar el PDF de la presentación desde el siguiente enlace.

En un futuro escribiré como utilizar Suricata como IPS con RouterOS a través de un módulo que programé para automatizar la tarea.

Sugerencias y comentarios son bienvenidos.