Estafa a las 3. Dónde está mi inversión? SE01X01

Estándar

Son las 3 de la tarde y el departamento de HelpDesk de la empresa Skynet recibe una llamada. Es el experto en IT Henry DansMerkt.

Henry DansMerkt: Hola buenas tardes. Es el departamento HelpDesk?

Técnico: Si señor Henry. Ha marcado los números correctos y este es el departamento de HelpDesk. Enhorabuena. En qué podemos ayudarle?

Henry DansMerkt: Puessss… La verdad es que no sé si es realmente un problema. El caso es que no encuentro un dinero para una inversión de IT. Este dinero estaba en una cuenta corriente y ahora no está.

Técnico: Señor Henry. Este problema tiene que ver con algún equipo? Verá, es que necesito saber si es un problema del equipo, para poder abrir un ticket de resolución. Los temas bancarios no los lleva el departamento de HelpDesk, así que no sé muy bien cómo ayudarle.

Henry DansMerkt: Verá, es que los números de cuenta los poseo únicamente yo, el departamento contable y el CEO de la empresa. He comunicado con ellos y me comentan que ellos no han realizado ningún tipo de acción sobre la cuenta mencionada. Todo este tipo de inversiones las hacemos siempre Online y nunca ha habido ningún problema. Así que tanto el CEO de la compañía y el jefe del departamento contable me han remitido a ustedes, por si el problema fuese del equipo corporativo.

Técnico: Ok. Vamos a realizar algún tipo de comprobación rutinaria. A qué tipo de banca online se refiere? Puede acceder a la página correctamente?

Henry DansMerkt: Las cuentas personales que utilizamos para este tipo de inversiones están alojadas en dos bancos. Uno es el Banco de Santander y el otro es Banesto. Y sí, acabo de probar a ingresar los datos en las cuentas y puedo acceder correctamente.

Técnico: Puede mandar alguna captura de su acceso a las cuentas?

Henry DansMerkt: Claro que puedo. Se las estoy enviando a través del correo electrónico. Un momento

Pasan unos 4 minutos….. (Tensa espera telefónica)

Henry DansMerkt: Le han llegado ya?

Técnico: Sí que me han llegado. Las estoy revisando

Henry1

Imagen 1.- Banca personal Henry

Henry2

Imagen 2.- Banca personal Henry

Técnico: Un momento por favor, estamos revisando el equipo en busca de Malware y monitorizando las conexiones. Manténgase a la espera por favor.

Henry DansMerkt: Ok

Técnico: Señor Henry. Hemos monitorizado el equipo y no vemos ninguna señal de Malware. Aparte, monitorizamos todo tipo de salida y entrada de datos mediante sistemas perimetrales de seguridad, y llevamos un control exhaustivo tanto de las políticas locales como del control de acceso a los recursos y ficheros de la compañía.

Henry DansMerkt: Ok. Pues muchas gracias. Ya me quedo mucho más tranquilo. Aunque no encuentre el dinero. Preguntaré al departamento contable y al CEO otra vez, no vaya a ser que se hayan olvidado de algo.

Técnico: OK. Pues doy por cerrado el Ticket. Muchas gracias por su llamada señor Henry y que pase un buen día.

Henry DansMerkt: Gracias chaval. Me iré a casa temprano hoy para seguir trabajando desde allí. Adiós!

Técnico: Oiga? Oiga? Señor Henry? Se encuentra ahí?

Henry DansMerkt: Sí sí, me encuentro aquí. Necesita algo?

Técnico: Ehhmmm… Verá, es que tengo su portátil aquí, ya sabe, el que me mandó la semana pasada para instalarle el nuevo sistema operativo de Microsoft. Windows 7. Recuerda?

Henry DansMerkt: Sí, sí, lo sé. Está terminado?

Técnico: No, no está terminado. Estamos incluyéndolo en el dominio y aplicando las políticas de seguridad. Recuerde que NO se debe trabajar con portátiles que no estén configurados por el departamento de IT. Fue idea suya… La pregunta es… DESDE QUÉ PORTÁTIL ESTÁ TRABAJANDO?

Henry DansMerkt: Ahhh, jajaja! Desde el portátil de mi compañero de piso, el cual amablemente me lo ha dejado hasta que me déis el corporativo. Lo tengo aquí ahora mismo.

Técnico: Puede encender el portátil por favor, y mandarme capturas de pantalla del inicio de sesión en la banca online? Es mera curiosidad y un trámite sin importancia….

Henry DansMerkt: Claro que sí, aunque no veo qué problema pudiese haber. Te mando las capturas en unos minutos.

Pasan unos 5 minutos. (Tensísima espera telefónica)

Henry DansMerkt: Te han llegado ya las capturas?

Técnico: Sí, ehhmmm… Espere, las estoy visualizando….

Henry3

Imagen 3.- Imagen Portátil «neocorporativo» del compañero de piso

Henry4

Imagen 4.- Imagen Portátil «neocorporativo» del compañero de piso

Técnico: Un momento por favor… (Sonido de fondo=on) ·$%##@@!!. Manuel! Llama corriendo a Javi de comunicaciones y que empiece a monitorizar tráfico en la red corporativa. Tenemos un ticket de nivel I. Ah! Y por favor, llama a Juanito Walker y a Juan Luigi «El drogata», y dile que tenemos un caso para ellos. «Drogata???»…. Sí, es que el tio lo esnifa «todo»….(Sonido de fondo=off). Señor DansMerkt, mucho me temo que va a tener que dejar el portátil aquí. Lo necesitamos para cerrar la incidencia.

Henry DansMerkt: La incidencia no estaba cerrada?

Técnico: No, la hemos abierto de nuevo.

Henry DansMerkt: Y cómo trabajo yo ahora desde casa?

Técnico: Veremos si sigue trabajando mañana aquí…..

Henry DansMerkt: Cómo ha dicho?

Técnico: Nada nada…. He dicho que inmediatamente le mandamos un portátil corporativo y nos quedamos con el de su compañero de piso para analizarlo con más profundidad.

Henry DansMerkt: Pero me lo devolverán hoy no? Es que mi compañero lo necesita para el Facebook y el Twitter…

Técnico: Lo intentaremos señor Henry, lo intentaremos….

Fin capítulo I

Saludetes!! 😉

 

Controlando Firefox en entornos corporativos

Estándar

Hola chic@s!

Tenía ganas de escribir sobre esto, ya que es un tema que en un principio (hace un par de años) me dió mucha guerra en su momento, y es la posibilidad de controlar ciertas aplicaciones en un entorno corporativo, como puede ser Directorio Activo.

Hoy en día estamos ante un hecho irrefutable, y es que nuestros desarrolladores (principalmente), deben convivir en un sistema con varios navegadores, para así poder dar soporte de sus aplicaciones Web.

Siempre he sido reacio a instalar aplicaciones «importantes» en un entorno corporativo y centralizado, si no puedo controlarlas desde mi Directorio Activo, es decir, a través de políticas.

Internet Explorer es altamente configurable a través de políticas. Es tal su nivel de granularidad, que podemos hacer prácticamente todo lo que se nos antoje. Desde cambiar el user-agent, hasta cambiar el tittle. Y todo ello a través de políticas. Las aplicas a una Unidad Organizativa, y se aplican a todos los objetos que ésta contenga. Fácil no?

Con Firefox la cosa cambiaba mucho, ya que no disponía de políticas de grupo para un control de esas características. La gran diferencia entre estos dos navegadores, es que Firefox puede ser una gran herramienta de hacking, mientras que IE no. IE es un navegador corporativo en toda regla, o por lo menos algunos lo vemos así.

Es la gran pregunta que nos hemos hecho muchos administradores al llegar al punto de decidir si algunos usuarios en nuestra empresa deben o pueden convivir con varios navegadores, en especial, los desarrolladores Web.

He visto empresas que tenían usuarios con IE y Firefox, y éste último instalado con decenas de extensiones y configuraciones. A medida que van llegando herramientas de este tipo a nuestra empresa, y sin un control centralizado de ellas, nuestra empresa va perdiendo seguridad. A mayor capacidad de la herramienta (mayores extensiones y configuraciones), mayor es la degradación de la seguridad.

Aquí no se trata de si un navegador es mejor que otro, y este artículo no va por esa línea. Particularmente me encanta IE y me encanta FF. Este artículo va de cómo puedo mantener un cierto grado de seguridad en mi empresa, quitando aspectos de la herramienta que no me interese, sin que para ello se vea afectada la productividad de mis usuarios y/o trabajadores al manejar la herramienta.

Aquí es donde entran en juego las políticas de sistema de Windows y las plantillas administrativas.

Una plantilla administrativa no es más que un archivo de texto que define las propiedades de un componente en una aplicación específica. Se reconocen por tener extensión ADM, y su estructura es parecida a la siguiente:

CLASS (Máquina o usuario)

      CATEGORY (Cagegoría)

             KEYNAME (Clave de registro)

       POLICY

       END POLICY

       END CATEGORY

Si queréis saber más sobre la ubicación de las políticas de grupo en Windows, y su estructura, podéis leer los artículos que os enlazo:

http://support.microsoft.com/kb/228460/es (Ubicación de las plantillas ADM)

http://support.microsoft.com/kb/225087/es (Escribir archivos ADM personalizados)

La página Web FrontMotion ha realizado un estupendo trabajo creando y liberando en su día unas plantillas para que pudiésemos realizar este trabajo e integrar FF en nuestra empresa, aunque hasta hace poco, las plantillas no estaban tan depuradas como hasta ahora.
Para integrar Firefox en nuestro Directorio Activo, tendremos que seguir unos pasos muy sencillos.

Tendremos que descargarnos una versión de FF específica, creada para este fin:

En nuestro caso, y para Firefox en su versión 2.0.0.6, tendremos los siguientes archivos:

Firefox 2.0.0.6 versión Spanish

Plantilla ADM número 1 para Firefox (Válida para configuración de equipo y usuario)

Plantilla ADM número 2 para Firefox (Válida sólo para configuración de equipo)

 Una vez que tengamos estas herramientas, podemos planear una instalación del navegador a través de políticas. Partiendo de la base de que el navegador está instalado en todos los usuarios pertenecientes a mi Unidad Organizativa llamada picateclas, vamos a añadir las plantillas administrativas.
Una buena práctica a la hora de administrar un Directorio Activo, es crear grupos de políticas independientes cada vez que deseemos administrar una parte del sistema operativo o alguna aplicación concreta. Por ejemplo si en un sistema operativo quiero administrar el Firewall de Windows, el Internet Explorer y el Firefox, me crearé una plantilla (para administrarlas a través del editor de políticas gpedit) por cada una de ellas. Con esto evitamos el poder perdernos entre tanta política. Imaginad si algún compañero no viene a trabajar un día determinado, se pone malo, de vacaciones, etc.. En un entorno empresarial grande y con tantas políticas para el equipo y aplicaciones, podríamos perder productividad como administradores. En el ejemplo, y para la unidad organizativa en cuestión, quedaría de esta manera.

A continuación agregaré y linkaré las dos plantillas para administrarlas. Linkaré estas dos plantillas en una configuración de equipo. Recordad que una de las dos plantillas sólo admite la posibilidad de cuenta de equipo.

Una vez agregadas las plantillas, podremos configurar Firefox a nuestro gusto, añadiendo y quitando funciones, para adecuar el funcionamiento de la herramienta a las necesidades de la empresa, manteniendo la funcionalidad y la seguridad.

La configuración que voy a realizar para la unidad organizativa picateclas es la siguiente:

    Configurar una página de inicio
      Desactivar el molesto chequeo del navegador por defecto
      Habilitar un espacio fijo para la caché de navegación
      Establecer un directorio determinado para la ubicación de las descargas
      Desactivar la instalación de nuevos complementos

Una vez configuradas las políticas, desde el editor de políticas de grupo se verán aplicadas de esta manera

Estas plantillas dan la posibilidad de configurar de forma avanzada nuestro navegador Firefox, de tal forma que no se nos escape nada, tal y como configuraríamos Firefox desde la opción about:config.

Una vez establecido las políticas a la unidad organizativa en cuestión, la próxima vez que reinicien el equipo, éste se comportará de esta manera una vez que naveguen a través de Firefox.

La página de inicio se muestra en gris, y no se puede cambiar (o al menos yo no he podido todavía)
El directorio de descargas tampoco se puede cambiar.

Si por el contrario, uno de mis usuarios desea descargarse algún que otro complemento, el navegador responderá de la siguiente manera:

Con esta configuración, obligamos a nuestros empleados a utilizar formularios internos si desean algún tipo de configuración en el navegador, impidiendo así la instalación no deseada de software en el navegador.

Recordad que si la aplicación lo permite, podemos crearnos nuestras propias plantillas administrativas. Gracias a ello podremos administrar nuestras aplicaciones desde Directorio Activo, centralizando el trabajo y manteniendo la seguridad. Son todo beneficios!

Saludos a tod@s!