Microsoft Exchange Server Error Code Look-up

Hi ha una aplicació de Microsoft que té llistats tots els codis d’error que poden apareixer als sistemes operatius Windows.

També s’han afegit els errors d’Exchange.

Microsoft Exchange Server Error Code Look-up

Preservació digital: La cambra dels horrors

No se si heu sentit parlar d’aquest terme: Preservació Digital.

Hi ha alguns altres associats, com poden ser: obsolescència digital, la Digital Dark Age (que vindria a ser com la Era Negra Digital), arqueologia digital, etc.

Aquest concepte tracta, entre d’altres coses, de com podem garantir que podrem llegir sempre una informació que es troba (o ha nascut) en format digital. Si està digitalitzada, sempre podem recorrer al paper original. Però què passa si només està en medi digital? Un catàleg d’una biblioteca, un certificat digital que caduca als 2 anys, etc.

Pot semblar una tonteria, però comencen a haver-hi casos palpables que indiquen que això serà un problema que cal tractar.

Posem exemples:

- On podem llegir avui en dia un disquet de 5 1/4 ?

- Com podem descomprimir un arxiu en LZH (aquell format tant comú als PCs amb MSDOS) ?

- Què passa amb la gent que va comprar les unitats ZIP o JAZZ i ara volen llegir les dades històriques?

I podrem trobar exemples més recents:

- Què passa si canviem el robot de cintes de l’empresa i volem recuperar una dada d’una cinta del format anterior?

- Com obrir una BBDD en un format d’una aplicació d’una empresa que ha tancat? no podem comprar el software. Les versions velles no funcionen en els nous equips.

- Què passa quan perdem el disc del PC de casa? Hem perdut per sempre l’arxiu fotogràfic d’una part de la nostra vida? Quan repassem les fotos, ens faltarà una part de nosaltres?

- No ens hem trobat d’anar a veure una cinta VHS de quan erem petits i la cinta ha perdut tanta qualitat que no es pot ni veure?

- Què passarà amb totes les targes de cameres de fotos que tenim? Quant de temps podrem usar la CompactFlash? Fins quan podrem llegir una XD ?

- A la NASA no poden llegir les cintes magnètiques d’una missió de 1976 perquè es troben en un format desconegut, i totes les persones que van treballar en el projecte o ja estan mortes, o van deixar l’empresa.

- Legalment cal guardar segons quines dades de l’empresa durant 5 anys. Podem garantir que als 4 anys i mig si ve un inspector, podrà llegir aquestes dades? Haurem canviat d’aplicatiu? Estarà en cinta, en un sistema de cintes ja obsolet?

Hi ha tot un moviment al voltant d’aquest concepte, que tracta de com anar replicat les dades, canviant-les de format, creant emuladors que puguin llegir-les o fins i tot establint un format “universal” per poder passar totes les dades a aquest format.

Tot i que potser pensem que no ens afecta, crec que és un tema que cal anar considerant. Ho deixo aquí perquè hi penseu.

I perquè mesureu com de vells sou, un passo un enllaç a “la cambra dels horrors”, una recopilació de tecnologies d’emmagatzemament que mostra molts dels dispositius amb els que haviem treballat alguna vegada, i que ara són del tot obsolets:

http://www.icpsr.umich.edu/dpm/dpm-eng/oldmedia/chamber.html

Què és l’atac man-in-the-middle de RDP o HTTPS?

Segur que algú de vosaltes ha sentit parlar del atac man-in-the-middle alguna vegada. En què consisteix aquest atac? Hi ha possibilitats reals de patir aquest atac o és una cosa de ciència ficció que només passa a les pelis?

Anem per parts.

El atac man-in-the-middle, com el seu nom indica, es un tipus d’atac en que l’atacant es posa entre la víctima i el servidor. La víctima passa les peticions al servidor, el atacant les intercepta, les modifica i les envia al servidor. Quan aquest respon, les torna a capturar, les modifica i les envia al client, com si res hagués passat.

Quin és el propòsit d’aquesta feinada? Doncs en protocols que van amb text clar, potser no té sentit fer-ho, perquè posem un sniffer, i capturem les dades. Aquest seria el cas del Telnet a un AS/400, un POP3, un FTP, o fins i tot el HTTP.

Però avui en dia els protocols porten una capa d’encriptació per evitar precisament que un simple sniffer pugui mostrar la informació que circula per la xarxa. Aquesta encriptació el que fa es que quan un client vol comunicar-se amb un servidor, utilitzen un protocol d’intercanvi de claus.

Un cop intercanviades les claus, s’encripta tot amb un algorisme de fluxe basat en les claus. Aleshores ningú pot incerceptar res del contingut.

La gràcia del Man-in-the-middle (MITM) és intervenir just en l’intercanvi de claus. Aleshores intercanvia unes claus amb el servidor, i les altres amb el client, i així pot interceptar tot el trànsit, ja que es capaç de desencriptar-ho, ja que les claus les ha posat ell.

Ja se que molts em direu que en una xarxa que té switchs (i no hubs), cada boca de xarxa només mostra el trànsit dirigit a ell mateix, i que es “impossible” capturar el trànsit que va a altres màquines. DONCS NO! Listillos, jejeje. Resulta que hi ha un tipus d’atac conegut com “ARP Poisoning” i també el ”DNS Spoofing” que consisteix precisament en saltar-se això.

Repassem els fonaments del TCP/IP. Quan una màquina vol parlar amb una altra i només sap el nom de màquina, necessita saber la IP. Això es consulta en un servidor DNS. Aleshores llancem un paquet contra el DNS dient “Qui té aquest nom?”. El problema es que algú estigui interceptant aquest paquet, i ens respongui enlloc del DNS, donant-nos una IP del PC amb el software de Man-in-the-middle.

I preguntareu, com es pot suplantar un DNS ? Doncs fàcil. Resulta que per accedir a un PC necessitem saber la adreça MAC de la tarja Ethernet. I com que només tenim la IP, doncs el PC envia un packet ARP preguntant “Who has IP x.x.x.x?” a TOTA la xarxa. Aleshores, el atacant envia la seva propia MAC en aquest paquet (ARP Poisoning), dient que és ell qui té la IP que necessita. A partir d’aquí, tots els paquets que hagin d’anar a aquella IP s’enviaran a la màquina que ha fet el ARP Poisoning.

En aquest moment, tots els paquets que s’enviin a aquella IP, quedaran interceptats. Si la IP es la del Gateway que ens comunica amb el POP3, o bé la del servidor Web HTTP, o fins i tot la del AS/400 amb el Telnet, doncs ja hem begut oli.

Per tant, no és cap escenari poc probable, o tant teòric que no es pot fer mai, etc. sinó que és un atac ben real i ben fàcil de fer amb algunes eines molt conegudes.

Quins són els protocols més susceptibles de patir un man-in-the-middle?

- Connexió HTTPS amb una CA no reconeguda (la típica CA de Windows per estalviar-nos uns durillos)

- Protocol RDP de Terminal Server de Microsoft

- SSH Mitjançant un versión downgrade

- Qualsevol tipus de protocol de text pla: FTP, Telnet, HTTP, etc.

 

Quin seria un escenari típic? Estem a un Hotel, ens donen Wifi. Estem a l’aeroport, tenim Wifi. Agafem el Wifi del veí que el té obert. Conectem en una oficina. Estem a casa,  i algú se’ns cola al Wifi. Estem a la oficina, i tenim un becari listillo que ens vol putejar, etc, etc, etc.

1. Ens connectem a la Wifi i obrim la nostra connexió de Terminal Server. A l’habitació del costat tenim algú fent ARP Poisoning del Gateway. De la manera més tonta, ja li hem donat un usuari probablement administrador per entrar a la nostra empresa fins dins de tot.
2. A més, estem consultant el nostre correu via POP3. També té el password del correu, que probablement serà el de Windows, i ja té una altra via d’entrada.
3. A més, fem un HTTPS contra la pàgina del Webmail, la intranet, etc. Ens apareix el missatge de sempre que “no se reconoce el certificado”, ja que el nostre jefe no deixa que comprem certificats a una CA coneguda, ja que valen pasta. Aleshores li diem “p’alante”, com fem sempre. Aquest gest, que sembla inofensiu, ens pot perjudicar greument. Si a l’accédir al https enlloc de entrar al servidor estem entrant a un PC d’un atacant del MITM via ARP Poisoning, estarem negociant les claus amb ell, i tota la comunicació que fem posteriorment, serà interceptada. Això és un problema, perquè sempre que veiem https ens dóna una sensació de seguretat que es FALSA. Només ens podem fiar dels certificats emesos per una entitat coneguda, i reconeguda. Si no és així, podem ser víctimes d’un MITM.
4. Un altre problema del HTTPS amb una CA no reconeguda és que no es guarden les sessions. En un certificat validat, fem l’intercanvi de claus la primera vegada, i després només cal dir que és la mateixa sessió, que la caché ja sap les claus, i ningú les pot interceptar. En una CA no reconeguda, cada vegada es fa el intercanvi, i per tant, cada vegada podem patir un atac MITM, no cal que sigui només a l’inici de la conversa.
5. Connectem a la nostra màquina SSH. A les opcions de SSH sempre tenim posat com a preferència SSH version 2, ja que com sabem, la versió 1 es vulnerable a atacs de contrasenya. Aleshores, el atacant del man-in-the-middle, ens accepta la connexió, i ens diu que ell només parla SSH1. Automàticament, el nostre client de SSH baixa la versió a SSH1, i ens passa el password, que podrem desencriptar fàcilment.

Què ús sembla ? No es cap escenari de la NASA, no?  Pot passar a qualsevol lloc, sense preveure-ho. I com passa sempre, avui en dia fins i tot hi ha programes que només apretant un botó et fan un atac MITM, no cal ser un super-friki, tocar linux, ni ser un pollòs desaliñao  per fer un atac d’aquests.

Quines són les recomanacions:

- No utilitzar protocols insegurs des d’Internet: POP3, RDP (Terminal Server)

- Res de fer servir servidors HTTPS amb la CA de Windows. Ni per temes interns.

- Fer servir protocols de connexió segurs des de l’exterior, com ICA de Citrix, HTTPS amb CA reconeguda a través de proxys inversos (tipus ISA Server). També connexions VPN amb certificats.

- Posar els serveis accessibles de l’exterior en una DMZ, i que aquestes màquines només facin de passarel·la, que no continguin dades.

- Posar firewalls que siguin UTM (Unified Threat Management), i que a més de inspecció d’estats, disposin de IDS, IPS, Antispam, i Antivíric.

Espero ser una mica aclaridor amb aquest tema, i crec que no cal pensar “això a mi no em pot passar”, perquè es un escenari molt comú.

Conceptes bàsics: DMZ, Proxy, Citrix, Virtualització, Continuïtat de negoci

Aquest article explica de manera planera alguns conceptes bàsics que ens trobem en les xarxes d’avui en dia, i que són les tecnologies que implementem des d’Interwor T-SIC.

DMZ: Xarxa independent i separada de la xarxa interna on s’ubiquen els dispositius amb serveis accessibles des d’Internet.
En una xarxa corporativa segura no ha d’existir CAP accés des de l’exterior contra la xarxa interna.
Els accessos sempre han de passar pels dispositius d’una xarxa controlada separada anomenada DMZ.
De la mateixa manera, a la xarxa DMZ no pot haver-hi cap servidor que contingui dades. Han de ser servidors passarel·la sense contingut que únicament reenviïn les peticions als servidors de la xarxa interna, perquè en cas d’ésser atacats no hi hagi cap possibilitat de pèrdua o accés no desitjat a la informació sensible.

Proxy: Servei que permet l’accés controlat dels usuaris a Internet. A més d’accelerar la connexió, permet tallar els continguts que minimitzen la productivitat i crear informes complets sobre l’activitat de navegació per Internet que realitza la companyia. D’altra banda aquest sistema també permet publicar serveis web interns de manera segura mitjançant el servei de proxy invers, com poder ser pàgines web o web mails corporatius.

Citrix: Citrix és el fabricant del producte Presentation Server, que permet introduir el concepte de Server Based Computing. Sota aquest concepte les aplicacions d’usuari i les dades es troben i s’executen en el servidor.
El dispositiu client (PC, PDA, mòbil) de l’usuari només s’utilitza per representar les dades.
Aquesta fórmula garanteix la seguretat i integritat de les dades ja que no surten mai de la companyia i sempre estan centralitzades, ja que només viatgen els troços de pantalla que canvien, mai la informació completa.
A la vegada també permet utilitzar totes les eines internes de manera controlada en qualsevol lloc, amb qualsevol dispositiu i amb qualsevol connexió, gracies a l’ús del protocol propietari ICA, que comprimeix i protegeix les dades.

Virtualització: La virtualització és un sistema que permet compartir una màquina física per executar diverses màquines virtuals. Aquestes màquines virtuals comparteixen els recursos lliures de CPU, memòria, disc i connexió de xarxa que d’altra manera estarien sense aprofitar esperant només puntes de treball.
Aquest fet permet a la vegada poder executar aquestes màquines amb independència del hardware. No cal reinstal·lar ni migrar un sistema per moure una màquina virtual.
A més, mitjançant regles automàtiques, podem fer arrencar una instancia de la màquina virtual en un altre hardware sense intervenció de l’administrador inclús fora d’hores d’oficina, proporcionant al sistema una alta disponibilitat i d’una recuperació ràpida en cas de desastre, garantint la continuïtat de negoci en tot moment.

Continuïtat de Negoci: Es coneix com la continuïtat de negoci el conjunt d’eines i procediments orientats a garantir un funcionament dels sistemes que tendeixi al 100% de operativitat en el temps. És evident que sempre cal buscar una solució de continuïtat de negoci que sigui un compromís entre el temps d’aturada o recuperació i el cost d’implementació.

Cicles de Vida dels Fabricants

Els fabricants de software tenen un cicle de vida pels seus productes. Això fa que la renovació sigui permanent, i també fa que puguin estalviar recursos en el manteniment de aplicacions obsoletes.

 Aquí podeu trobar alguns links on es mostren els cicles de vida dels productes:

Microsoft

Citrix (explicació / llistat)

HP (software)

Problemes amb arxius oberts que no es poden esborrar

Microsoft ha realitzat un document on mostra totes les opcions.

El podeu trobar aquí

Llistat d’impressores HP compatibles amb Citrix/Terminal Server

El llistat actualitzat està aqui.

Driver de Bonding per Linux

Ho podem treure de:

http://docs.hp.com/en/B9903-90050/ch05s04.html