Nuevo proyecto para fortificar ownCloud

Desde hace un par de años que comencé a utilizar el sistema ownCloud para crear mi propia nube privada SaaS en vario de mis servidores en producción para compartir archivos entre los usuarios de mi rad.

Haciendo uso además de muchas de las bondades que encontramos en ownCloud como es la autenticación de usuarios con servidores LDAP, notificación de correo, la edición colaborativa, el uso de los protocolos WevDAV, CalDAV y CarDAV entre otras cosas.

Si bien a cada una de las instalaciones de ownCloud dentro de cada servidor se realiza su proceso de  hardening o fortificación previo, como la eliminación de archivos innecesarios, la configuraciones extrema de cada servicio como así también del servidor junto a su firewalls y su IDS/IPS.

La necesidad ahora es lograr automatizar el proceso de hardening para ownCloud, teniendo la posibilidad de descargar un paquete y revisar sus librerías, actualizaciones, eliminaciones de archivos, etc. Hasta lo que tengo entendido no se encuentra ninguna herramienta para tal fin disponible para poder usarla.

En lo personal, desde hace un buen tiempo estoy trabajando y programando WPHardening que es una herramienta que nos puede ayudar a securizar los proyectos en WordPress.

La idea de este nuevo proyecto, que por el momento no tiene nombre, ni siquiera los requerimientos formales para comenzar a trabajarlo es justamente lograr realizar una herramienta que nos ayude a dejar lo menos expuesto ownCloud en nuestros servidores. Seguramente lo que valla a hacer va a estar basado en WPHardening, pero con muchas modificaciones.

Mi invitación es para todos los programadores o informáticos que utilizaron o están utilizando ownCloud como su nube privada a que se sumen a este proyecto y realicen sus aportes.

Estoy seguro que a medida que avance les voy a estar dejando los detalles del trabajo en el blog. Se animan a participar en este proyecto? Los espero a todos!
Saludos!

The Original Hackers Nº 7

Ya tenemos disponible la entrega número 7 de la revista digital libre “The Original Hacker” escrita por nuestra amiga Eugenia Bahit ( @eugeniabahit ) correspondiente al 30 de Junio del 2014.

Para este número, Eugenia nos preparo:

• Europio Engine Lab: URL customizables y slugs en Europio Engine
• Ingeniería de Software y estructura de directorios definitivas en aplicaciones MVC modulares.
• Hack para emular la autocarga y desactivación de módulos de un sistema como política de emergencia frente a fallos inesperados.
• Ese Captcha no verifica a los humanos, sino que comprueba su miopía. 

Además con el hashtag #AcertijoTOH7 podes participar del acertijo que está al final de la edición.

Saludos!

Descarga | The Original Hacker Nº 7

Ambientes de pruebas y producción

Cuando nos encontramos en una situación en la que por algún motivo nuestro ambiente actual de producción debe ser modificado, actualizado o cambiar de un estado a otro, es necesario, para evitar  los riesgos de una posible caída del sistema o degradación del mismo, imitar varios escenarios similares y lograr ensayar esos cambios allí.

Un ambiente de producción, es un ambiente sumamente controlado, tanto por los recursos que están involucrados como en las configuraciones de cada sistema o servicio, en tanto que un ambiente de pruebas lo podemos considerar como un escenario con poco control, en donde generalmente podemos modificar todos sus componentes sin miedo o temor a “romper” algo.

Hoy en día, gracias a las tecnologías de virtualización, es muy simple crear entornos de prueba basados en un entorno de producción, para que el escenario sea lo más parecido al que luego hay que implementar. Todo depende de los hipervisores que se estén usando, basta con clonar esa maquina virtual o pasar de una máquina física a una virtual.

Recuerden, sea cuál ser el servidor, el servicio, las configuraciones, las librerías, etc. lo mejor que podemos hacer es probar siempre primero en su entorno de desarrollo siempre. Con esto podemos evaluar su comportamiento y luego planificar su implementación en su entorno de producción.

Llevándolo un poco más a la práctica, por ejemplo, un buen diseñador web puede crear un nuevo estilo para una web desde su entorno de desarrollo, ver el comportamiento de ese estilo en diferentes navegadores, realizar las optimizaciones, etc. Lo mismo puede hacer un administrador de sistema, cuando por ejemplo debe migrar a una versión reciente de WordPress, es muy simple montar un LAMP, importar la base de datos extraída del entorno de producción y probar y actualizar el sistema WordPress, hacerlo una o varias veces o dejar que nuestro compañero aprenda sobre ese mismo escenario.

Las posibilidades hoy por hoy son infinita,  la verdad que les aseguro que se van a ahorrar muchos dolores de cabeza.

Saludos!

GoLismero 2.0 Beta 3

Desde hace ya un tiempo, me dediqué a utilizar en mis Auditorías de Seguridad a la herramienta GoLismero y la verdad que desde el primero momento fue una experiencia única.

GoLismero

… es un Framework Open Source destinado al Pentesting. En la actualidad, está dirigido a la seguridad en aplicaciones web, pero es posible ampliarlo para otro tipos de aplicaciones o estructuras de sistemas. Tiene la capacidad de ejecutar sus propias pruebas de seguridad y utilizar una gran cantidad de herramientas de seguridad conocidas (OpenVas, Wfuzz, SQLMap, DNS recon, etc.) Una característica que la hace única a GoLismero, es la capacidad de retroalimentarse de información de cada plugin o herramienta y unificar de forma automática sus reportes.

Esta herramienta, se ejecuta en la consola de comandos, como lo dijimos anteriormente, está fundada desde sus inicio como Software Libre bajo la licencia GNU/GPLv2, es multiplataforma, debido que lo podemos ejecutar en Windows, GNU/Linux, *BSD y OSX, se encuentra programada en Python, es muy simple y rápido al momento de comenzar a usarla, existe la posibilidad de crear nuestros propios Plugins y colaborar al proyecto, unifica los reportes, etc. Con todas estas características, como no probar GoLismero y por que no colaborar al proyecto.

El equipo de GoLismero está compuesto por Daniel García ( @ggdaniel ), Mario Vilas ( @Mario_Vilas ) y Raúl Requero ( @rrequero )