SMB

WannaCry?

Javier Lobo16 mayo, 20175Informática

Pues sí, wanna cry fuerte.

No voy a ponerme en plan Chema Alonso ni a daros consejos de gurú recalcitrante para dármelas aquí de experto. Solo voy a llorar un rato.

Como todo el mundo sabe ya, el viernes mucha gente se descojonaba de Telefónica en las redes sociales porque fueron víctimas de un ataque de Ransomware (o «ramonware», según TVE). Como con cualquier cosa que pasa en este país, todo el mundo empezó con las gracietas, los memes, los «esto con linux/Mac no pasa»… Incluso Antena 3 coló al negro del WhatsApp en la noticia, sin tener nada que ver. Microsoft ya ha hecho su análisis de la movida (de la del ransomware, no del negro del WhatsApp).

En mi curro, mis compañeros comentaban el tema en voz alta, riéndose también de lo ocurrido, enseñándose capturas de pantalla de las noticias y jijiji jajaja. Fui el único imbécil que se puso a revisar si podría afectarnos en algo. Wanna cry?

Conforme avanzaba la mañana, iban saliendo datos del virus en cuestión. Otro ransomware que requiere de la colaboración de un inefable usuario que abra el típico correo de «aquí está tu factura que parece un virus pero no lo es.docx» o «has ganado cien iPhones 9 y tres Teslas, pulsa aquí» y la líe parda. No hace mucho, nos colaron un cryptolocker flojito de la misma manera durante mi primer día de vacaciones. Y mira que hemos avisado. Wanna cry?

EN FIN, comprobé con cierto descanso que la vulnerabilidad estaba parcheada desde el 14 de marzo. Soy el encargado* del WSUS (servidor de actualizaciones interno para los PC’s de la empresa). También soy el encargado* del antivirus a nivel PC, servidor, anti-spam… Ya tenía todo parcheado y actualizado, excepto -claro está- los servidores. Porque soy un administrador de sistemas al que no le dejan administrar servidores. Cosas de ¿criterio? de mis jefes itinerantes. Wanna cry?

Por mi parte, abrí la consola de WSUS, saqué informes relativos al parche en cuestión, y solo había tres PC’s con la instalación pendiente. Malditos developers que nunca reinician. Tiré de BatchPatch (software penco pero útil donde los haya) y forcé instalación y reinicio, previo aviso, a los PC’s que faltaban. No llevó más de 15 minutos, y ya tenía la red peligrosa (la de usuarios) parcheada.

Hice todo lo que creí conveniente para asegurarme bien, e informé puntualmente a mis compañeros/jefes con toda la información recabada y las acciones tomadas. Advertí de la urgencia de parchear los servidores ASAP (puede que hiciera más de un año de la última vez), pero nadie pareció inmutarse. Yo salía a las 15h, así que pensaba irme con la tranquilidad agridulce de haber hecho mi trabajo hasta donde me dejan meter mano.

Diez minutos antes de irme, llega a mi sitio el jefe de los externos que se encargan de administrar los sistemas (deberíais haber visto mi cara al escribir esto) y me comenta que mi jefa le ha dicho no se qué de un boletín de seguridad de Microsoft. Que qué tal con eso. Me hago sangre del facepalm, le digo con todo el esfuerzo del mundo que hacía más de una hora que les había informado de todo y que los parches en los PC’s estaban desplegados desde marzo. Me hace un Rajoy como cuando saltó con lo de «¿y la europea?» preguntándome «¿y los servidores?».

  • Los servidores se parchean manualmente para no arriesgarnos a reinicios o a efectos inesperados de las actualizaciones.
  • Pero solo habría que reiniciar porque están las actualizaciones automáticas puestas, ¿no?
  • No.
  • ¿No?
  • No.
  • ¿Cómo que no?
  • Como que no.
  • Pero me han dicho…
  • Te pueden haber dicho misa, compae. Las actualizaciones automáticas están DES-HA-BI-LI-TA-DAS en todos los servidores. Y hace más de un año que no se parchean.
  • Madre mía, entonces vamos a tardar DÍAS.
  • Obvio, pero ¿qué tal si simplemente instaláis ESTE parche en cuestión?
  • Ah, ¿tienes el enlace de descarga?
  • Sí, y tú también, en tu correo, hace hora y media.
  • Ah.
  • Seh.
  • Bien.
  • ¿Algo más?
  • No, todo claro.
  • Pues suerte.

Como por cuestiones de salud mental desactivé el correo corporativo en el móvil, al llegar hoy (porque ayer fue fiesta en Madrid), he estado viendo que han estado todo el puente parcheando servidores. ¡Menos mal!

Pero me encuentro correos de mi jefa preguntando cosas de las que ya informé el viernes. Que si los PC’s están parcheados, que si la abuela fuma… es desesperante. Y como toda buena empresa que se precie, todavía quedan servidores y PC’s «históricos» (de éstos que no puedes actualizar porque ‘lo que tiene instalao no va’) en 2003 y XP. También he informado de que Microsoft ha sido tan amable de sacar parches para sistemas no soportados, pero han vuelto a sonar grillos.

Nada, compañeros. Solo era eso. Quería llorar un ratito. Y eso que no me pilló el toro. Por esto twiteé el otro día lo de…

_______________________________
*Que a nadie más parece importarle.

Cosas que NO molan de Lion. Hoy: el protocolo SMBX y nuestros viejos mediacenters

Javier Lobo30 agosto, 201122Informática

ATENCIÓN: ESTE POST SIGUE SIENDO ÚTIL, PERO HAY UNA OPCIÓN MEJOR Y MÁS FÁCIL. AQUÍ LA TIENES.

Hoy, oficialmente uno de mis días de furia, había pensado pasar la tarde tirado en el sofá viendo pelis. Tengo un pequeño mediacenter, un Asus O!Play HDP-R1 (una maravilla de la técnica que reproduce todo tipo de formatos) conectado a mi red local de casa.

Hasta que instalé Lion, no tenía ningún problema. Lo encendía, me iba a la red y veía mis carpetas compartidas. Después de instalar Lion, me pedía validación para acceder al ordenador (OK, accedía) y volvía a pedirme validación para acceder a las carpetas, con un flagrante LOGIN FAIL en cada intento.

Googleando un poco, he visto que una de las novedades de nuestro querido Lion es cierto cambio en el protocolo SAMBA para compartimiento de archivos. Apple se ha zumbado el mítico SAMBA de toda la vida para implantar su propio «SAMBA X» (o SMBX). Al parecer es mucho más seguro que SAMBA, pero claro, nuestros viejos dispositivos no lo soportan aún (y hay quien dice que todavía es «buggy like hell», o que falla más que una escopeta de feria para los de la LOGSE). Gente con mi Asus O!Play, con discos multimedia Western Digital de esos que se han vendido por toneladas, gente con el XBMC tuneao, etc. Todos con el mismo problema.

Necesitaba mi tarde de relax y pelis, y por tanto necesitaba una solución. He pasado por varias:

  • Aplicaciones pencas que te configuraban comparticiones NFS fácilmente entendibles por todo tipo de cacharrines con entorno gráfico.
  • Servidores multimedia a cholón que te hacen conversiones en tiempo real de tus vídeos para hacer streaming por la red.
  • Resignación (¡NUNCA!).
  • Volver a instalar el viejo SAMBA.

Y ahí me he parado. Es posible reinstalar SAMBA en Lion y que todo vuelva a la normalidad. Lo bueno es que es gratis; lo malo es que hay que perder casi una tarde entera si hay que seguir todos los pasos que os paso a detallar. Al lío:

  • Descarga Xcode (herramientas para desarrolladores) desde la Mac AppStore. Aquí tienes el link directo. Lo bueno: es gratis; lo malo: son casi 3 gigas de descarga. Paciencia.
  • Instala Xcode una vez termine la descarga. Parece un paso chorra, pero me ha hecho perder algo de tiempo pensando que al descargarse se instalaba automáticamente.
  • Abre una ventana de Terminal (en Aplicaciones > Utilidades). Lo siguiente es instalar MacPorts a base de comando limpio, así que lo podrás copiar y pegar (o arrastrar) desde aquí a tu terminal para que no te equivoques al teclear.
  • Vamos a chequear la source de MacPorts. Teclea la clave de tu usuario (esperemos que seas administrador) cuando te la pida:
  • sudo mkdir -p /opt/mports
  • sudo cd /opt/mports
  • sudo svn checkout http://svn.macports.org/repository/macports/trunk
  • Mientras se realiza el paso 6, vete a tomar un café o un helado. Te da tiempo.
  • Ahora, vamos a compilar y a instalar MacPorts.
  • sudo cd /opt/mports/trunk/base
  • sudo ./configure –enable-readline
  • sudo make
  • sudo make install
  • sudo make distclean
  • Qué de letricas ¿eh? Bien, ahora vamos a editar uno de los archivos de configuración:
  • sudo nano /opt/local/etc/macports/sources.conf
  • Cambia la última línea (rsync://rsync.macports.org/release/ports/) por esta otra (file:///opt/mports/trunk/dports).
  • Escribe los cambios con CTRL+O, Enter y sal del editor con CTRL+X.
  • Agregamos MacPorts al «path» (para que esté disponible desde cualquier directorio sin tener que buscarlo, vamos):
  • export PATH=$PATH:/opt/local/bin
  • sudo port -d sync
  • BIEN, ya tenemos todo listo para instalar el viejo SAMBA:
  • sudo port install samba3
  • Tras otro ratito, se habrá instalado SAMBA con sus dependencias. Ahora debemos editar otro archivo de configuración:
  • sudo cd /opt/local/etc/samba3/
  • sudo mv smb.conf.sample smb.conf
  • sudo nano /opt/local/etc/samba3/smb.conf
  • Aquí ponemos nuestro grupo de trabajo en la línea «workgroup =». El mío es «WORKGROUP», así que queda así:
  • workgroup = WORKGROUP
  • En «server string» ponemos el nombre NT de nuestro mac. Esto podemos verlo, por ejemplo, en Preferencias del Sistema > Compartir. Arriba tenemos un campo junto a «Nombre del ordenador», y justo debajo una descripción con el nombre con el que se puede acceder desde la red local (suele ser distinto si el nombre original tiene espacios o caracteres extraños). Por ejemplo, si el nombre de mi Mac es «iMac del Sr. Lobo», los ordenadores de la red local podrán acceder mediante «iMac-del-Sr-Lobo.local». Así que en la siguiente línea, ponéis como se llame vuestro equipo en la red.
  • server string = iMac-del-Sr-Lobo.local
  • OK, vamos a lo «difícil». Compartamos nuestras carpetas. Al final del archivo de texto que estamos editando tenemos unos cuantos ejemplos de comparticiones, bastaría con copiar uno de esos ejemplos o modificarlos y quitar los «;» del inicio de la línea. Vamos a compartir, por ejemplo, una carpeta privada (Downloads) a la que solo podrá acceder el usuario «Perri»
  • [Downloads]
  •    comment = Descargas
  •    path = /Users/Perri/Downloads
  •    valid users = Perri
  •    public = no
  •    writable = yes
  •    printable = no
  • Escribe los cambios con CTRL+O, Enter y sal del editor con CTRL+X.
  • Iniciamos SAMBA con este comando:
  • sudo /opt/local/sbin/smbd -D && sudo /opt/local/sbin/nmbd -D
  • Tenemos otra dificultad, y es que tendremos que iniciar SAMBA siempre que reiniciemos el Mac. Para que se inicie solito, descarga este archivo: com.imac.samba3.plist, descomprímelo y mete el archivo com.imac.samba3.plist en /Library/LaunchAgents.
  • En preferencias del sistema > Compartir, seleccionamos «Compartir Archivos» y pulsamos el botón «Opciones…». Ahí desactivamos la casilla «Compartir archivos y carpetas mediante SMB (Windows)» para que el nuevo SAMBA no pise al viejo SAMBA (que está feo).
  • ¡LISTO!

 

Fuente: http://www.johnlarge.co.uk/