Exploit caco

Estándar

Black Day en la vida de Juanillo….. Otra vez… 

Puede parecer mentira pero no… Es verdad… Un nuevo exploit ha atacado mis dominios…. Y con un rotundo éxito.

Esta vez no ha sido el famoso exploit gato. Este es otra variante mucho más conocida y actual. El exploit caco. Ni la frontera externa, ni la interna, han podido filtrar la exposición de mi dominio ante este exploit. Se ha colado por el perímetro exterior, comúnmente llamado ventana trasera. El exploit utilizó una bomba lógica que llamaremos piedra, y con esta técnica pudo entrar en mis dominios. El exploit ha sido utilizado para obtener datos de mi organización. En el caso que nos precede, el exploit consiguió con éxito unos 20 CD originales, un GPS, y la satisfacción de haber podido entrar en mis dominios. Ante un forense inicial realizado por mí, no he encontrado muchas evidencias, salvo una huella de un pie y la bomba lógica (piedra). He denunciado el caso ante la policía nacional, y ni la RIS científica ni personal de CSI, han podido corroborar la identidad del hacker propietario del exploit.

He realizado formalmente una notificación al soporte técnico que realiza tareas de mantenimiento general a parte de mis dominios, los cuales gustosamente arreglarán con un hotfix especial, llamado BackRightWindowSP1_ES.exe, el fallo que ha causado tan desagradable accidente. Y muy a su pesar me subirán la cuota el año que viene….

Quizás me de una vuelta por los bajos fondos, esos donde se dan cita estos hackers para intercambiar la información… He estado investigando y me han comentado que lo llaman Rastro….

Update: El hijo de puta hacker, se ha llevado además una toalla guapísima de J&B y una cámara digital…. Grrrrrrr!……

Saludetes…

Controlando Firefox en entornos corporativos

Estándar

Hola chic@s!

Tenía ganas de escribir sobre esto, ya que es un tema que en un principio (hace un par de años) me dió mucha guerra en su momento, y es la posibilidad de controlar ciertas aplicaciones en un entorno corporativo, como puede ser Directorio Activo.

Hoy en día estamos ante un hecho irrefutable, y es que nuestros desarrolladores (principalmente), deben convivir en un sistema con varios navegadores, para así poder dar soporte de sus aplicaciones Web.

Siempre he sido reacio a instalar aplicaciones “importantes” en un entorno corporativo y centralizado, si no puedo controlarlas desde mi Directorio Activo, es decir, a través de políticas.

Internet Explorer es altamente configurable a través de políticas. Es tal su nivel de granularidad, que podemos hacer prácticamente todo lo que se nos antoje. Desde cambiar el user-agent, hasta cambiar el tittle. Y todo ello a través de políticas. Las aplicas a una Unidad Organizativa, y se aplican a todos los objetos que ésta contenga. Fácil no?

Con Firefox la cosa cambiaba mucho, ya que no disponía de políticas de grupo para un control de esas características. La gran diferencia entre estos dos navegadores, es que Firefox puede ser una gran herramienta de hacking, mientras que IE no. IE es un navegador corporativo en toda regla, o por lo menos algunos lo vemos así.

Es la gran pregunta que nos hemos hecho muchos administradores al llegar al punto de decidir si algunos usuarios en nuestra empresa deben o pueden convivir con varios navegadores, en especial, los desarrolladores Web.

He visto empresas que tenían usuarios con IE y Firefox, y éste último instalado con decenas de extensiones y configuraciones. A medida que van llegando herramientas de este tipo a nuestra empresa, y sin un control centralizado de ellas, nuestra empresa va perdiendo seguridad. A mayor capacidad de la herramienta (mayores extensiones y configuraciones), mayor es la degradación de la seguridad.

Aquí no se trata de si un navegador es mejor que otro, y este artículo no va por esa línea. Particularmente me encanta IE y me encanta FF. Este artículo va de cómo puedo mantener un cierto grado de seguridad en mi empresa, quitando aspectos de la herramienta que no me interese, sin que para ello se vea afectada la productividad de mis usuarios y/o trabajadores al manejar la herramienta.

Aquí es donde entran en juego las políticas de sistema de Windows y las plantillas administrativas.

Una plantilla administrativa no es más que un archivo de texto que define las propiedades de un componente en una aplicación específica. Se reconocen por tener extensión ADM, y su estructura es parecida a la siguiente:

CLASS (Máquina o usuario)

      CATEGORY (Cagegoría)

             KEYNAME (Clave de registro)

       POLICY

       END POLICY

       END CATEGORY

Si queréis saber más sobre la ubicación de las políticas de grupo en Windows, y su estructura, podéis leer los artículos que os enlazo:

http://support.microsoft.com/kb/228460/es (Ubicación de las plantillas ADM)

http://support.microsoft.com/kb/225087/es (Escribir archivos ADM personalizados)

La página Web FrontMotion ha realizado un estupendo trabajo creando y liberando en su día unas plantillas para que pudiésemos realizar este trabajo e integrar FF en nuestra empresa, aunque hasta hace poco, las plantillas no estaban tan depuradas como hasta ahora.
Para integrar Firefox en nuestro Directorio Activo, tendremos que seguir unos pasos muy sencillos.

Tendremos que descargarnos una versión de FF específica, creada para este fin:

En nuestro caso, y para Firefox en su versión 2.0.0.6, tendremos los siguientes archivos:

Firefox 2.0.0.6 versión Spanish

Plantilla ADM número 1 para Firefox (Válida para configuración de equipo y usuario)

Plantilla ADM número 2 para Firefox (Válida sólo para configuración de equipo)

 Una vez que tengamos estas herramientas, podemos planear una instalación del navegador a través de políticas. Partiendo de la base de que el navegador está instalado en todos los usuarios pertenecientes a mi Unidad Organizativa llamada picateclas, vamos a añadir las plantillas administrativas.
Una buena práctica a la hora de administrar un Directorio Activo, es crear grupos de políticas independientes cada vez que deseemos administrar una parte del sistema operativo o alguna aplicación concreta. Por ejemplo si en un sistema operativo quiero administrar el Firewall de Windows, el Internet Explorer y el Firefox, me crearé una plantilla (para administrarlas a través del editor de políticas gpedit) por cada una de ellas. Con esto evitamos el poder perdernos entre tanta política. Imaginad si algún compañero no viene a trabajar un día determinado, se pone malo, de vacaciones, etc.. En un entorno empresarial grande y con tantas políticas para el equipo y aplicaciones, podríamos perder productividad como administradores. En el ejemplo, y para la unidad organizativa en cuestión, quedaría de esta manera.

A continuación agregaré y linkaré las dos plantillas para administrarlas. Linkaré estas dos plantillas en una configuración de equipo. Recordad que una de las dos plantillas sólo admite la posibilidad de cuenta de equipo.

Una vez agregadas las plantillas, podremos configurar Firefox a nuestro gusto, añadiendo y quitando funciones, para adecuar el funcionamiento de la herramienta a las necesidades de la empresa, manteniendo la funcionalidad y la seguridad.

La configuración que voy a realizar para la unidad organizativa picateclas es la siguiente:

    Configurar una página de inicio
      Desactivar el molesto chequeo del navegador por defecto
      Habilitar un espacio fijo para la caché de navegación
      Establecer un directorio determinado para la ubicación de las descargas
      Desactivar la instalación de nuevos complementos

Una vez configuradas las políticas, desde el editor de políticas de grupo se verán aplicadas de esta manera

Estas plantillas dan la posibilidad de configurar de forma avanzada nuestro navegador Firefox, de tal forma que no se nos escape nada, tal y como configuraríamos Firefox desde la opción about:config.

Una vez establecido las políticas a la unidad organizativa en cuestión, la próxima vez que reinicien el equipo, éste se comportará de esta manera una vez que naveguen a través de Firefox.

La página de inicio se muestra en gris, y no se puede cambiar (o al menos yo no he podido todavía)
El directorio de descargas tampoco se puede cambiar.

Si por el contrario, uno de mis usuarios desea descargarse algún que otro complemento, el navegador responderá de la siguiente manera:

Con esta configuración, obligamos a nuestros empleados a utilizar formularios internos si desean algún tipo de configuración en el navegador, impidiendo así la instalación no deseada de software en el navegador.

Recordad que si la aplicación lo permite, podemos crearnos nuestras propias plantillas administrativas. Gracias a ello podremos administrar nuestras aplicaciones desde Directorio Activo, centralizando el trabajo y manteniendo la seguridad. Son todo beneficios!

Saludos a tod@s!