Otro Ciberataque a una entidad gubernamental Argentina y van…

Este no va a ser mi típico post sobre tecnología, vamos a hablar sobre problemáticas sociales en Argentina en lo referente a ciberseguridad.

Hoy browseando twitter encontré un reporte de Birmingham Cyber Arms informando que el Ministerio de Salud de la provincia de la Rioja habría sufrido un ciber ataque.



Este Ciberataque se sumaría a una serie de ciberataques a organismos gubernamentales Argentinos en el los últimos tiempos, como ser la Comisión Nacional de Valores (atacada por el grupo Medusa), la Legislatura Porteña el año pasado, el INTA o el Registro Nacional de Las Personas (RENAPER) por mencionar algunos. (Noticias de diversos medios vinculados a todos los ciberataques más abajo)



Saliendo del meme, este fenómeno cada vez se está volviendo más común, y me deja pensando: ¿cuáles son los factores que llevan a que esto suceda? ¿Qué podemos hacer los Argentinos para que estas situaciones dejen de ocurrir?

Antes de empezar con el análisis técnico de este problema, me parece importante mencionar que en Argentina está vigente la ley 25.326 de protección de datos personales (la cual acabo de leer al detalle y no vamos a analizar acá ya que no tengo conocimiento jurídico alguno) pero me parece importante este artículo de la ley.


ARTICULO 9° — (Seguridad de los datos).

1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.


Dicho en criollo: “El que tiene tus datos, es responsable de mantenerlos seguros”.

¿Cuáles son los factores que llevan a esta situación?


Factor Humano



Ya lo hemos hablado y es sabido, más del 80% de los ataques informáticos suceden por error humano. Puede no ser intencional o con malicia, simplemente por ignorancia o desconocimiento.
Muchas organizaciones hacen entrenamientos de ciberseguridad continuos para todos los usuarios explicando las políticas y controles de seguridad para que puedan entender que pasa en cada caso.
Es importante destacar, la ciberseguridad no solamente son factores humanos, también son factores políticos y cultura organizacional.


Factor Técnico


Antes de empezar a hablar de factores técnicos me gustaría repasar el ABC de la ciberseguridad para cualquier industria.

1. Usar contraseñas complejas y cambiarlas frecuentemente.
2. Mantener todo tu software actualizado.
3. Pensar antes de clickear.

Y si quisiéramos hilar un poco más fino podríamos incluir cosas como:

  • Usar Hardware con soporte
  • Usar software con licencias originales
  • Activar controles de acceso.
  • Aplicar micro segmentación
  • Usar tecnologías de detección como SIEM, EDR o XDR.
  • Usar antivirus Enterprise
  • Tener un equipo dedicado de ciberseguridad.
  • Emplear gente idónea para la posición.
  • Usar controles de cambios y normas ITIL


Ahora, con conocimiento de causa por haber trabajado en varias agencias gubernamentales como consultor puedo confirmar que hay el ABC ya no se está cumpliendo.

DISCLAIMER: No digo que pase en todas las agencias gubernamentales,  ni pretendo desmerecer colegas. Esta parte es la voy a hacer en base a dos agencias gubernamentales (Una a nivel GCBA y otra a Nivel Nación) y en base a mi experiencia ahí. Invito a cualquier lector que este en desacuerdo a compartir su opinión.

Algunas de las cosas que son grandes errores a nivel ciberseguridad que vi y seguramente siguen presentes:

ProblematicaDescripcionExplicación para gente no técnica
Falta de control de accesosLa mayoría de los usuarios tienen administrador local en sus computadoras.Sin permisos de administrador local los usuarios no pueden instalar programas o ejecutar tareas que puedan ser perjudiciales para la organización (Por ejemplo instalar un virus)
Falta de control de accesosLa mayoría de los usuarios no cambian sus contraseñas.Cambiar las contraseñas regularmente es una medida de seguridad importantísima para evitar posibles ataques relacionados con data leaks.
Falta de control de accesosLos usuarios que se van de la organización siguen teniendo sus usuarios activos, incluso años después.Las mejores practicas dicen que cuando un usuario deja la organización el usuario se bloquea inmediatamente.
Me llego la historia de una persona que tuvo un servidor de counter strike en una dependencia del gobierno corriendo por 8 años sin que nadie se diera cuenta.
Software DesactualizadoDesde los paquetes de ofimática hasta los servidores de mail, todo desactualizado.Cuando sale una actualización de cualquier programa o aplicación por lo general corrige vulnerabilidades de seguridad.
Software pirataSi, en las dependencias de gobierno hay software crackeado.Cuando compramos una copia pirata de cualquier programa o app, ese programa puede estar modificado y alterado teniendo malware.
Falta de antivirus Enterprise (o falta de antivirus)Tener un antivirus actualizado es la primera línea de defensa para cualquier computadora, ahora, para empresas u organizaciones gubernamentales se suelen usar versiones Enterprise (Pagas) que tienen mejores características
Firewalls mega permisivosReglas Allow Any-Any en los firewallsUn firewall permite o deniega la comunicación de dos equipos en una red.
Las mejores prácticas dicen que todas las comunicaciones deberían estar denegadas por defecto y solo las comunicaciones aprobadas deberían estar permitidas.
Falta de medidas de seguridad avanzadasNo se habla de Micro segmentación, XDR, EDR, IDPS, etc.Son productos de seguridad más avanzados que permiten detectar y frenar posibles ciber ataques.


Cómo siempre digo a la hora de entrevistar candidatos, lo técnico se corrige con entrenamiento y experiencia, si bien es algo que deberíamos corregir y cuanto antes mejor el problema subyacente pasa por los motivos políticos.


Factor Político:

No quiero caer en la fácil y decir: los empleados estatales son todos vagos.
Eso es un estereotipo trillado y a veces no es cierto. En esta parte de mi análisis, voy a tratar de ser lo más apolítico posible ya que este problema trasciende distintos entes gubernamentales, con distintas banderas políticas e incluso distintas presidencias.

1. Inestabilidad económica en Argentina:
Esto no es nuevo, tengo 29 años y desde que tengo uso de razón Argentina esta en crisis.
2001, 2008, 2013, 2021, siempre hay algo nuevo.

Esto es un factor importante ya que los insumos, productos y servicios  de IT suelen estar cotizados en dólares. Al subir la cotización del dólar estos se vuelven más caros.
Por otro lado se vincula con el bienestar de los empleados.

2. Precariedad en las relaciones laborales:
En el GCBA muchos de los empleados son monotributistas, es una forma del GCBA de ahorrarse cargas sociales, esta relación “precaria” puede perdurar por años incluso más de lo establecido por la ley, este factor también aplica a las dependencias de Nación.
Por ejemplo, para nación sobre un total de 197234 empleados solo 127040 estaban en planta permanente dejando casi un tercio como monotributistas

Esto significa que los monotributistas no tienen aumentos de sueldo, sus contratos se actualizan año a año sin tener la seguridad de si van a ser renovados (causando una especial incertidumbre en años de elecciones)
Entendamos también que si bien el estado es el mayor empleador de la argentina, no es el que mejor sueldos paga. Esto causa que los empleados carezcan de motivación.

Acá me tomo un segundo para una opinión personal: tengo varios amigos y colegas que trabajan para el estado en Argentina, y varios colegas que trabajan para el estado en otros países.
En Argentina trabajar para el estado no es considerado un servicio público, simplemente es considerado una forma de hacer buen dinero por poco esfuerzo. En cambio, en otros países es una forma de hacer un bien a la sociedad a cambio de reconocimiento.
Creo que en sistemas y ciberseguridad es donde más se puede mejorar el bienestar de la ciudadanía, sin embargo, la gente que está en esas áreas no tiene interés en hacerlo, no tiene los medios o la burocracia gubernamental lo impide.
 
3. Idoneidad:

Según la RAE la definición de Idoneidad es:
“Gral. Cualidad de idóneo, adecuado o apropiado para algo.”

Mi profesor de programación en el colegio, probablemente la persona que más sabe de C++ que conozco, tiene título de óptico y daba clases de programación. Por no considerarlo idóneo (falta de título habilitante) el GCBA lo destituyo del puesto.
La persona a cargo de la Subsecretaría de Tecnologías de la Información es una ABOGADA.  
Siendo Argentina un semillero de talento IT tan importante, ¿no sería más idóneo un Ingeniero?

Escribiendo esto, también encontré que la directora nacional de ciberseguridad es Ingeniera Electronica con un master en regulación de telecomunicaciones.
De igual manera no conozco a estas personas y no quiero hacer un juicio de valor sobre su trabajo, estoy usando este concepto como puente para ejemplificar un concepto.

Así como esta Abogada está a cargo de una Subsecretaría que debería ser técnica, algunos de mis colegas tenían profesiones bastante lejanas a la informática, como ser: sociólogos, profesores de música, psicólogos, bioquímicos, etc.
Esta gente no estaba del todo capacitada para administrar los productos suministrada y muchas veces no comprendía los conceptos básicos que te da haber estudiado informática.


4. Agencias gubernamentales como espacio de militancia política.
Es sabido que en el estado los altos puestos son asignados a dedo por los gobernantes de turno. Y estos nuevos directorios traen consigo gente de confianza, asi cada 4 años hay un recambio de directivos y se genera un clima de incertidumbre en la gente (van a seguir teniendo trabajo? Van a sacar al sindicato? Van a cerrar el ministerio?)

Al haber una grieta política tan grande en Argentina, muchas veces los mismos empleados tiran en contra del directorio de turno, tratan los activos de IT con desidia o no cumplen sus funciones para no “beneficiar al otro” sin entender que a quien deberían beneficiar es a la ciudadanía.

Al tener recambios de gobierno cada 4 años, por otro lado, muchas de las iniciativas iniciadas por un gobierno, son descartadas por el otro.
Un ejemplo muy simple: El cepo cambiario del gobierno de Cristina Kirchner que fue removido en el gobierno de Macri para ser restituido en los últimos días de su gobierno.
Es muy difícil establecer políticas de ciberseguridad e IT a largo plazo si no tenés una continuidad.
Un buen ejemplo de esto es lo que pasa, por ejemplo en Alemania: donde los distintos partidos se propusieron atacar la crisis del cambio climático y formaron una coalición para atacar esa problemática independientemente del partido.

 5. Corrupción

No hace falta que diga mucho acá, no?

Posible solución

Nobleza Obliga, acá me lleve una grandísima sorpresa. Esto está encaminado por el gobierno actual para bien, encontré que hay una Dirección nacional de ciberseguridad que, por lo que veo, tiene un plan de acción bastante claro.
 
Algunas de las sugerencias que yo daría y las respuestas desde la Dirección Nacional de Ciberseguridad a continuación


– Estandarizar las medidas de seguridad a nivel nacional mediante entes reguladores, auditorias y controles de compliance


Investigando encontré que ya hay una decisión administrativa que define los Requisitos mínimos de Seguridad de la Información para Organismos.
Acá hay una presentación sobre los requisitos mínimos:
Cabe destacar que esto fue firmado en 2021 y no pude encontrar datos sobre el estado de la implementación.

– Establecer un SOC nacional para monitorear incidentes de seguridad y responder de la manera mas eficiente
Otra grata sorpresa, en 2021 se creó cert.ar

No pude encontrar información de si ya se encuentra operativo, pero todos los ciberataques que mencioné pasaron de 2021 a hoy así que, en mi opinion, de estar operativo hay cosas que mejorar.


– Establecer un plan de infraestructura critica

Seguimos por el buen camino:
El plan de infraestructura crítica esta definida desde 2019
Encontré la política de infraestructura critica, pero a decir verdad es bastante genérica
Habrá que ver cómo se definen internamente las politicas de protección para cada área.


– Establecer un plan de educación para ciberseguridad
Sigo sorprendido, está incluido en la estrategia nacional de ciberseguridad.


– Incluir educación básica de ciberseguridad en las escuelas desde la primaria.
Esta información no la encontré en ningún lado.


Conclusión:

 Me lleve una lindísima sorpresa con ver que hay un plan y está en marcha.
Lamentablemente no pude ver la parte técnica (por ejemplo, que estándares usan o que productos o medidas técnicas recomiendan) ni tampoco el progreso que se está haciendo.
Como un juicio de opinión, todo lo que encontré me pareció escrito a nivel políticos y no tanto a nivel técnico (queda claro el por qué, me encantaría explicarle a Cafiero que es un metasploit, aunque no creo que vaya a pasar).


Referencias:


Ley de protección de datos personales:
http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/texact.htm

Ciberataque al Renaper:
https://www.lanacion.com.ar/stories/sociedad/hackeo-filtran-miles-de-datos-personales-del-renaper/
https://eleconomista.com.ar/tech/hackean-renaper-hablo-hacker-asegura-tener-copia-datos-planea-venderlos-filtrarlos-n47003

Ciberataque al INTA:
https://news.agrofy.com.ar/noticia/204770/hackeo-inta-argentina-lidera-ranking-ciberataques-region

Ciberataque a la CNV:
https://www.infobae.com/economia/2023/07/01/hackeo-a-la-cnv-ya-circulan-500000-archivos-filtrados-con-datos-confidenciales-de-bancos-y-empresas/
https://www.ambito.com/economia/hackeo-la-cnv-el-grupo-hacker-difundio-informacion-no-recibir-el-pago-rescate-n5757458

Ciberataque a la Legislatura:
https://www.eldiarioar.com/sociedad/legislatura-portena-sufrio-hackeo-sistemas-internos_1_9309498.html
https://www.clarin.com/ciudades/hackearon-legislatura-portena-piden-usar-computadoras-internas-red-wifi_0_1vF4Jky2Xv.html
https://www.infobae.com/politica/2022/09/12/la-legislatura-portena-sufrio-un-hackeo-que-afecto-sus-sistemas-internos/

VMware Explore Las Vegas – Top 5 Sessions to look for.

VMware Explore Las Vegas is around the corner, it will take place on August 21st  to 24th in the Venetian convention center.
I think it’s an excellent opportunity for all the IT professionals that have the opportunity to assist and see what VMware has prepared for us.

Here are top 5 sessions I’m looking forward to:

Accelerate Digital, Customer-Centric Banking – A Financial Service Workshop [INDT2712LV]

As a financial services IT leader, you strive to deliver exceptional customer experiences while investing in modernization strategies that fuel growth, innovation and efficiencies. In this interactive financial services workshop, learn how IT leaders like you deliver customer-centric digital banking experiences. Industry leaders will discuss the trends, best practices, and lessons learned as they accelerate digital transformation. In panel discussions and interviews, hear from financial services leaders. From infrastructure modernization to building modern apps, learn practical ways to accelerate the delivery of new products, services and capabilities that improve customer experience and boost competitive advantage. You will also have the chance to participate in a Q&A with the customer panelists and VMware industry experts.

Speakers:
Steven Fusco, Global Business Solutions Strategist, VMware
Joe Chenevey, Principal Solutions Architect, VMware
Paul Nothard, Global Financial Services Industry Group, VMware

Track: Cloud & Edge Infrastructure

Session Type: Tutorial

Level: Business 100

Primary Product: VMware Cloud

Products: VMware NSX, VMware Tanzu, VMware Workspace ONE, VMware Cloud, VMware Aria Automation

Primary Session Audience: VP, Cloud

Session Audience: CIO, VP, Apps & Platforms, VP, End User Computing, VP, Infrastructure & Operations, VP, Cloud

Why am I interested in this session?
For the past years I’ve been heavily involved in the financial sector and I think it’s a business that is in constant change.
When my parents needed to make a deposit, they needed to go to the bank with the cash and make the deposit, the same thing if they applied for a loan or a credit card.
I manage all my banking through the comfort of my phone and I don’t even know which is my bank’s office.
I think it’s important to understand what are the trends in the fintech industry, how VMware is helping, and how we as IT professionals can prepare ourselves for the upcoming days.

60 Minutes of NUMA – A CPU is not a CPU anymore [CODEB2761LV]

Recently both AMD and Intel made their flagship Server CPUs available, the AMD EPYC and the 4th generation of the Intel Xeon Scalable Processor. Both follow a similar paradigm of the multi-chip, multi-tile module design, impacting kernel scheduling and workload sizing to work around the application expectation of a CPU subsystem. Besides the traditional deep dive of NUMA scheduling, we will discuss the new vSphere 8 functionality solving the age-old question, how many cores per socket? We will show real-life data on NUMA-locality’s importance for a Machine Learning\HPC application that runs on GPUs. We will look at the latest CPU architecture developments, such as the Sapphire Rapids’ new onboard accelerators, which can help you guide your data center hardware refresh. Join me as we dive into this exciting and critically important space.

Speaker: Frank Denneman, Chief Technologist, VMware

Track: Cloud & Edge Infrastructure

Session Type: Breakout Session

Level: Technical 300

Primary Product: VMware vSphere

Products: VMware Tanzu, VMware vSphere, VMware vSphere with VMware Tanzu

Primary Session Audience: Infrastructure Architect

Session Audience: Cloud Admin, Enterprise Architect, Infrastructure Architect, SysAdmin, Platform Ops

Why am I interested in this session?
I’ve been reading Frank’s vSphere Resource Deep Dives for the past years and I think it’s a very good way to understand how vSphere (or vSAN) works under the hood (not only what happens when you click X or Y). In VMworld 2020 I attended this session and I feel it upscaled my understanding of ESXi and vCenter to new levels, being able to provide performance fine-tuning recommendations to my customers in the best way possible.

Am I Being Phished? – Protect Your Mobile Users with Workspace ONE Mobile Threat Defense [EUSB2727LV]

The use of mobile devices in enterprises increases and is a key satisfaction metric from employees who work from anywhere. But the number of threats impacting mobile users increases in number and complexity. How can you protect your mobile users from new threats, such as phishing, that arise in all sorts of applications while still protecting their privacy? Learn how to configure and deploy VMware Workspace ONE Mobile Threat Defense to protect your organization as an integration into your Workspace ONE environment.

Speaker: Andreano Lanusse, Staff EUC Architect, VMware

Track: Hybrid Workforce

Session Type: Breakout Session

Level: Technical 200

Primary Product: VMware Workspace ONE Mobile Threat Defense

Products: VMware Workspace ONE Intelligence, VMware Workspace ONE UEM, VMware Workspace ONE Mobile Threat Defense

Primary Session Audience: VP, End User Computing

Session Audience: VP, End User Computing, Senior Security Manager, EUC Specialist

Why am I interested in this session?
Recently I’ve been working a lot with workspace one, and I think it’s a great product (not a magic product as many people think) and corporate mobile phones are often a neglected part of enterprise security.
I think this session will help me understand Workspace One MTD, a fairly recent product, and how can it help secure the mobile fleet of my clients.

A Decade of Platform Engineering with VMware Tanzu [MAPB2122LV]

Kubernetes has become the de facto standard for container orchestration. Platform engineering teams have options when using that technology, such as a prescriptive approach with platform as a service or a more flexible approach where they can customize their Kubernetes platform. VMware Tanzu supports multiple containerization journeys with many ways of running applications. Platform teams can choose between VMware Tanzu Application Service or VMware Tanzu for Kubernetes Operations. This panel, which includes Tanzu Vanguards, will share important considerations when running the platform, including security, survivability, scale, cloud native secrets, networking do’s and don’ts, ChatOps, and more. This panel will also share lessons learned and best practices for dealing with chatty neighbors and microservices, using isolation segments for specific use cases, and application and platform monitoring.

Speakers:
Nick Kuhn, Senior Technical Marketing Architect, VMware

Pawel Piotrowski, Architect, S&T Poland

Jonathan Regehr, Platform Architect, Garmin International

Venkat Jagana, Vice President&Distinguished Engineer, Kyndryl

Kerry Schaffer, Senior IT Director, OneMagnify

Track: Modern Applications & Cloud Management

Session Type: Breakout Session

Level: Technical 300

Primary Product: VMware Tanzu Application Service

Products: VMware Tanzu Application Platform, VMware Tanzu for Kubernetes Operations, VMware Tanzu Application Service

Primary Session Audience: Platform Ops

Session Audience: VP, Apps & Platforms, Application Developer, Cloud Architect, DevOps Manager, Platform Ops

Why am I interested in this session?
I’ve been working with Tanzu a lot recently, and although I think it’s a great product. I feel Kubernetes in general is complex to operate (Day 2 Operations), and it’s a shared feeling with some peers. I have the impression that this session, in collaboration with Tanzu Vanguard Experts will provide me with insights or ideas to apply in our environment.

Machine Learning Accelerator Deep Dive [CEIM1849LV]

In this Meet the Expert session, you can ask all your questions about deploying machine learning workload and the challenges around accelerators. When do I use CPU resources, what about NUMA relation, when do I use passthrough, and what benefit has NVIDIA AI Enterprise? What’s the difference between MIG and time-sliced, and how can I avoid cluster defragmentation in certain scenarios? Join me as we dive into this exciting and critically important space.

Speaker: Frank Denneman, Chief Technologist, VMware

Track: Cloud & Edge Infrastructure

Session Type: Meet the Expert Roundtable

Level: Technical 300

Primary Product: VMware vSphere

Products: VMware Tanzu, VMware vSphere, VMware Edge, VMware Cloud, VMware + NVIDIA AI-Ready Enterprise Platform

Primary Session Audience: Enterprise Architect

Session Audience: Enterprise Architect, Infrastructure Architect, SysAdmin, Platform Ops

Why am I interested in this session?
AI Is the new shiny thing, In a couple of months it generated more value-added than Web3 (Sorry Crypto Bro). My perspective is that in the upcoming years, we will start seeing more and more ML workloads in the enterprise data center so I would like to understand how to fine-tune the performance and understand the challenges and limitations of running ML workloads on vSphere clusters.

And why not, if Machines Enslave humanity, be a survivor just because I know how to feed them more servers?

Bonus Track: Lessons Learned from the Most Complex VMware Aria Automation 7 to 8 Migration to Date [CEIB1318LV]

In this session, learn and understand everything that happened under the hood in VMware’s most complex migration to date of VMware Aria Automation (formerly VMware vRealize Automation) version 7 to 8, involving an industry-leading transportation customer. Find out how we were able to solve their unique use case and, through careful thinking and thousands of lines of code, get them to the finish line.

Speakers:

Pontus Rydin, Principal Systems Engineer, VMware

Lucho Delorenzi, Staff Customer Success Architect, VMware

Track: Modern Applications & Cloud Management

Session Type: Breakout Session

Level: Technical 300

Primary Product: VMware Aria Automation

Products: VMware NSX, VMware Aria Automation, VMware Aria Automation Orchestrator

Primary Session Audience: Cloud Architect

Session Audience: Cloud Admin, Cloud Architect, Infrastructure Architect, Platform Ops, VP, Cloud

Why am I interested in this session?
Aria automation (sorry, but in my twisted mind I still call it, vRealize Automation) is one of the most powerful products for the SDDC and the multi-cloud environment, that being said, it’s also one of the most complex.
My friend and colleague Lucho is delivering this session and based on all the sessions he provided to VMUG Argentina I think we can all learn a thing or two from him.

VMware vExpert – Todo lo que necesitas saber

Hace algunos años escribí este artículo, explicando cómo formar parte de la comunidad VMware vExpert


Pasaron algo más de dos años y medio y me parece que es hora de darle una lavada de cara al artículo.
Es importante aclarar que todo el contenido del artículo original (de febrero de 2021) sigue siendo vigente y va a ser la base para este post, pero a eso le vamos a sumar algo más de información que fui adquiriendo en estos años.

¿Qué es vExpert?

vExpert es un reconocimiento que da VMware a profesionales que participan en las distintas comunidades (VMUG, VMTN, etc) y mejoran VMware día a día de forma desinteresada. A modo de agradecimiento por compartir sus conocimientos y fomentar el intercambio en las comunidades.

¿Qué no es vExpert?

NO es una certificación, es un reconocimiento, no requiere preparación técnica alguna.

¿Cuándo anotarse para ser vExpert?

Las sesiones para ser vExpert abren 2 veces al año: en diciembre (para la votación de principio del año siguiente) y en junio para la votación de mediados de año.
Las aperturas de este año cierran el 30 de junio, no te lo pierdas.

¿Cómo llegar a ser vExpert?

Existen varios caminos, dependiendo cual sea tu condición por ejemplo: no es el mismo camino si sos empleado de VMware, trabajas para un partner o si sos cliente.  (para mas información sobre esto, por favor visitar el post original)
Una vez decidido el path hay que ir a vexpert.vmware.com y completar nuestros datos y un formulario de inscripción en el que, básicamente, tenemos que contar ¿Por qué queremos ser vExperts?

vExpert PRO

Son personas que tienen varios años como vExperts y decidieron empezar a mentorear a otras personas para que puedan ser vExperts. Está muy bueno contactarlos antes de aplicar y pedir un poco de feedback.

El listado completo de vExperts por país acá

¿Qué cosas se valoran para ser vExpert?

  • Generacion de contenido (Articulos en Blogs, Libros, Podcasts, videos de Youtube)
  • Participación en los VMUG
  • Participación como orador en conferencias
  • Participacion en las VMware Communities

¿Qué cosas no se consideran en una aplicación para vExpert?

  • Compartir artículos de VMware social media Advocacy en redes sociales. (Been there done that)
  • Charlas y eventos privados de empresas. (Si sos empleado de VMware o un partner existen paths específicos)
  • Posts, Articulos o Material que generes para tu empresa.
  • Certificaciones que obtengas.
  • Contenido e interacciones de años anteriores. (Por ejemplo: si estas aplicando al vExpert 2023, un post de 2020, por más bueno que sea, no sirve)

Mi primera aplicación decía algo como:
¨Di 3 charlas sobre NSX, arme 15 artículos internos para la empresa, capacite a 15 personas en tal producto, hice esta implementación.¨
La persona que me lo corrigió unos años más tarde me dijo que se acordaba de mi aplicación y me dijo: ¨Tenés un curriculum increíble, pero no estás haciendo nada por la comunidad¨

Algo que a mi me sirve a la hora de generar contenido: Podes no saber todas las respuestas, pero con que encuentres una solución a un problema que vos tuviste y lo publiques, ya estas ayudando a alguien.

¿Por qué ser vExpert?

Acá dejo una lista de los principales beneficios del programa:
– Networking con casi 2000 profesionales.

– Invitación al canal privado de Slack

– Oportunidad de aplicar a los subprogramas de vExpert

– Certificado de vExpert firmado por Pat Gelsinger (Creo que fueron los últimos, no?)

– Permiso para usar el logo de vExpert en tus tarjetas, sitio web y demás

– Vas a aparecer en el Directorio de vExperts

– Licencias de VMware y de varios otros productos(Licencias por un año o NFR)

– Webinars privados de VMware y partners.

– Briefings pre lanzamiento y pre VMworld.

– Programa de Early Access para Bloggers

– Fiesta privada e identificación en el VMworld

Y como si todo esto fuera poco.

– Regalos exclusivos de VMware y algunos partners. ¿A quien no le gusta el marchandising corporativo?

– Un año gratis de Pluralsight. – Reconocimiento de la comunidad. (No es una certificación, pero abre muchísimas puertas).

¿Cómo perder el reconocimiento vExpert?

Acá hay dos cosas que pueden pasar:

1. No completamos el formulario de aplicación a tiempo.
2. No hicimos nada por la comunidad. (No nos olvidemos, vExpert es un reconocimiento a los miembros que aportan a la comunidad)


Espero que este post haya servido de ayuda.

Workspace One UEM – Blocking users from connecting to corporate email from unauthorized email clients

This issue was a bit of a brain cracker but I’m happy with the outcomes.
A few weeks ago, one of my freelance customers from Argentina called saying they noticed their users could connect to their corporate email infrastructure using unmanaged email clients, which, in traditional French is what they call a big information security ka-ka, that could potentially lead to data leaks or even worse.

To tell you a bit about the infra:

  • It is a WS1 UEM On-Prem deployment
  • The email server is Exchange on-prem and the customer is using WS1 SEG for email integration
  • It’s a BYOD deployment having iOS and Android.
  • All users should be using a hardened deployment of Boxer to connect to the environment

Upon checking we found out there were no email compliance policies set up, so if users tried to connect to the SEG and it had a proper set of credentials they would’ve been authenticated and able to sync email.

Please note: the settings described below will only apply for a BYOD approach where you are using WS1 boxer, if you want to allow your users to use native mail clients for corporate-owned devices this might not be the right solution for you.

How to solve this situation:

In Workspace One UEM console we browse to Email -> Compliance policies and we should see something like this:



 Under EAS (Exchange Active Sync) Device Type we should configure the compliance policy like this:


This setting will allow only Boxer clients and block all unmanaged clients.

Mail Client

Your mail client should look like this:


This way we will allow only boxer clients and block all other unmanaged clients.


Under Sync Settings compliance:


This setting will remove the email, calendar, contacts and other email objects sync from non-compliant devices.

Other settings to enable:
Device Compromised: Set to Block Compromised Devices
Managed Devices: Set to Block Unmanaged Devices

For an additional layer of security, the exchange team has decided to block unmanaged email clients on Exchange.

Here are the steps:

1. Log in to Exchange Console
2. Click Mobile -> Mobile Device Access
3. Under Exchange Active Sync Device Access Rules create 4 rules:

  • One rule to allow BoxerManagedAndroid
  • One rule to allow BoxerManagediPhone
  • One rule to allow BoxerManagediPad
  • One rule to block the remaining devices.


I got the idea from this video from Ben Siler
https://www.youtube.com/watch?v=jQ1KtUpOZGI


ESXiArgs, all you need to know.

I’m not a cybersecurity expert, but I’ve been working for a CyberSec company for quite some time and after so many discussions with the Information Security folk a few things start sticking to you. This is the first post I will do focusing on security, but hopefully not the last.

Ransomware is not recent news, it’s been laying around for a couple of years.
Particularly WannaCry kept many colleagues up all night in 2017.
If anyone doesn’t know what Ransomware is yet, let’s explain it with this simple analogy:

Photo:  Westend61 / Daniel Simon

You leave your bike on the street and some thug comes in and instead of taking it home puts a lock and demands a payment (ransom) for the key.
Now, the bike is your data and the lock is an advanced encryption algorithm.

Now, as I mentioned in previous posts this blog primarily focuses on VMware products, and for many years the primary target for ransomware attacks was Windows and VMware was, fortunately, kept to a side.
With the evolution of the Ransomware industry, yes Cybercrime is an industry, Ransomware started affecting not only windows but other operating systems. And that’s where ESXiArgs comes into the picture.
Disclaimer: it’s not the first nor the last ransomware to affect ESXi, it’s just the latest one.

What is ESXiArgs?
ESXiArgs is a Ransomware campaign targeting publicly available ESXi hosts.
It is believed that it’s leveraging one of the following vulnerabilities
CVE-2022-31699, CVE-2021-21995, CVE-2021-21974, CVE-2020-3992, and CVE-2019-5544. But still, the final vulnerability is not yet confirmed.

For a deep dive into how the attack works:
https://www.trustedsec.com/blog/esxiargs-what-you-need-to-know-and-how-to-protect-your-data/

What is OpenSLP?
OpenSLP is an open-source framework for networking applications to discover the existence, location, and configuration of services in enterprise networks, which ESXi client applications use to resolve network addresses and hosts.


What ESXi versions are affected?
According to the official documentation:



Source: https://www.vmware.com/security/advisories/VMSA-2022-0030.html

It’s important to note that most of the affected hosts were reported to be outdated versions of ESXi 6.5 and 6.7.

Is there any workaround available?
Yes, you can disable the SLP service as shown in this KB
Please note, disabling SLP service doesn’t require a reboot but may affect how CIM interacts with your VMs and third-party monitoring solutions might be impacted.

Is there any way to recover?
The US Cybersecurity and Infrastructure Security Agency (CISA) has published this github script with detailed instructions on how to recover.

Remember: Paying for Ransomware is never an option.

Can I block the SLP port on the firewall?
Yes, you can, as a compensatory control.
That’s not a full mitigation.

Is there any official comment from VMware?
VMware Official ESXiArgs FAQ page
VMware Security Response Center has also made its official statement.

Closing comments:
While researching for this blog post I came across a few interesting factors:

1. A cloud provider in France reported having 2000 ESXi hosts affected by this vulnerability. All the hosts were publicly available on the internet.

2. All of the affected hosts are unpatched. And most of them are end-of-life.

How can this be improved?
Don’t expose your servers to the internet if it’s not required. vCenter and ESXi hosts are never required to be exposed to the internet.
But Nacho I need them to… No, you don’t.

  1. Keep the servers up to date:
    This doesn’t only apply to VMware, ESXi or vCenter. This is the most basic part of running IT operations to keep your organization secure.

    I think of the usual patching as going to the doctor:
    • Some people go to the doctor often and get checked. Even if they are feeling perfectly fine. These are the more mature organizations that have reached a level of proactiveness and automation that allows them to.
    • Some people go to the doctor when they have some pain, they get some medications and forget about their doctor.
    This is probably the vast major group of organizations, both big and small that for a variety of reasons don’t want, don’t know, or can’t afford the operational cost of patching.
    • There is also a third group of people that never go to the doctor, and when they visit the doctor is too late.
    These people are just wrong.
  2. Patching vSphere has never been easier, I’m patching my hosts as I write this, to be honest, vSphere Lifecycle Manager (a tool included in your vCenter license) makes it super easy to patch and upgrade your ESXi hosts.
  3. Scan your environment for vulnerabilities:
    Organizations that are mature in the cybersecurity field usually have a Vulnerability Scanning tool running regularly.
    These tools often give a report of the vulnerabilities in the system and even tell you what is the suggested version and how to mitigate them.
    There are many options both open-source and paid.
    Based on my experience I would recommend Tenable or Nessus.
    Another option would be to hire a company or consultant that provides Red Team services.
  4. Subscribe to VMware Security Advisories
    It’s a newsletter that sends you updates on new vulnerabilities, it’s usually a 2 minute read and from there you can notify your team and your organization to properly patch and update.