jueves, septiembre 30, 2010

Y la cosa funciona

Si no fuera así, si un día la humanidad se levantara con dos dedos de frente más de los que acostumbramos a gastar, no tendríamos estos ataques tan ingeniosos. Pero la realidad es que no es el caso, y la humanidad solemos gastar una mollera de talla S aguda que se exacerba con la picaresca malvada de querer ser más listo que el de al lado. Esto hace que timos como el de la estampita con los billetes negros sigan funcionando a las mil maravillas con los más ávidos de los ladronzuelos.

Conocida esta tendencia malévola de la humanidad, cuando recibo un correo como el que sigue, procedente además de una de mis universidades, lo primero que hago es sonreir. Después elucubro sobre la cantidad de gente que ha podido recibir esto y pienso... "Es una paradoja, es propio mail te dice que es un FRAUDE" cualquier usuario con dos dedos de frente debería ver lo mismo, ¿no?


Y sin embargo, una tras otra vez se suceden estos intentos de estafa burdos y simplistas destinados a los menos agraciados por la medida del frontal oseo, que además se vean agravados de un parietal malusado.

Luego... ¿es justicia divina? ¿Es un método de enseñanza? ¿Es la pena que debe sufrir la humanidad por la falta de interés en la educación de la especie? Quien supiera la respuesta, pero lo cierto es que, tal vez porque sea IMPORTANTE, sorprendentemente, esto funciona.

Saludos Malignos!

miércoles, septiembre 29, 2010

Intypedia: Enciclopedia Visual de Seguridad Informática

El gran "little Budda" ha conseguido volver a enredar a un montón de gente para sacar adelante el proyecto Intypedia. La idea que se esconde tras este nombre, es la de conseguir evolucionar un poco más la Universidad y los sistemas de educación autodidactas, aprovechándose de los mecanismos que ofrece Internet, para ofrecer a los usuarios una enciclopedia de seguridad informática en formato multimedia.


El proyecto tratará de conseguir recoger, en videos de 10 a 15 minutos, explicaciones sobre Criptografía, Protocolos de comunicaciones, Malware, Seguridad de aplicacions, etc... Aún está empezando, y cuenta con material referente a criptografía, pero se espera que los miembros de la comunidad Criptored se animen a ir creando más material.

Una de las "gracias" es que las sesiones están presentadas por dos personajes llamados Alicia y Bernardo. He de decir que me gustan poco los dos tipos, pero supongo que estoy mayor. A mi me hubiera molado más ver al gran Jorge Ramió en versión avatar que pudiera ir tuneando. Así, con un mod de ropa le podría poner en traje, o elegir el modelo profe enrollado con bermudas, camiseta y gafas de sol... pero... eso no es lo importante del proyecto, sino la información.


Alicia y Bernardo (el del Mac)

En cada tema, además, se enlazan documentos de Criptored con información complementaria, para poner los documentos relacionados más accesibles.


Intypedia: Una lección de criptografía

Enhorabuena por el lanzamiento Jorge, y espero que se anime mucha gente a colaborar.

Saludos Malignos!

martes, septiembre 28, 2010

10 años por fraude VoIP

Allá por el año 2006/2007 decidimos que en el Gira Technet de Seguridad llevaríamos una sesíon de hacking de comunicaciones unificadas. Así, primeramente hacíamos unas demos en las que enseñábamos como capturar mensajes de Windows Messenger, luego como capturar ficheros transmitidos, mensajes de Voz por Windows Messenger y, por último conversaciones con sistemas VoIP, amén de como grabar una conversación clásica de teléfono.

Durante la presentación de la sesión poníamos una diapositiva en la que contabamos la historia de Edwin Andres Pena. Un ciberdelincuente que estaba escapado de la justicia amerícana por haber estafado a las operadoras de telefonía VoIP americanas.

El amigo colombiano venezolano Edwin, había conseguido robar minutos de comunicaciones SIP que revendía por Internet, quedandose con un jugoso margen que le daba para comprarse un par de BMWs, un Cadillac y un lujoso Yate. Cuando la operadora se dio cuenta de lo que pasaba, lanzó a la justicia sobre él, pero el protagonista de la historia consiguió fugarse a tiempo.

Ahí terminaba el conocimiento que tenía de esa historia. Con el delincuente fugado de las autoridades. Y pensé que ahí iba a terminar la historia para mí, pero sin embargo, ayer he leido el final en una de las noticias RSS y la historia no acaba bien para el "hacker" de VoiP.

Sorprendentemente, el FBI no descansó y siguió buscándole por Sudamérica, hasta que al final le trincaron en México por una ex-novia enfadada que dio el chivatazo. Así son las cosas con las mujeres amigo.

Así que, una vez capturado, ha sido juzgado y, en primera instancia, le van a caer 10 años de cárcel que tienen pinta de ser muy poco divertidos. Después de eso, una vez que pague con 10 años, le deportarán de los Estados Unidos.

Fin.

Pocas veces nos solemos enterar del final de las historias debido a que pasan de actualidad. Es una queja recurrente que tengo con los telediarios. Siempre me entero cuando comienza un juicio, pero si quieres enterarte de que pasó con el final del juicio, tienes que investigar por otros medios. En este caso, a todos los que les conté esta historia en las conferencias de la Gira Technet los dejé sin conocer el final... hasta hoy.

Saludos Malignos!

lunes, septiembre 27, 2010

Animaciones HTML 5 en BlogCamp

Durante el Blogcamp tuvimos un par de pruebas de trabajo en grupo para dirimir qué 4 se llevaban las XBoxes, qué grupos se llevaban los libros de SEO, RSS y 101 Secretos para mejorar su web y qué 4 se llevaban los libros de montar un Windows Sever 2008 R2 failover Cluster for Dummies.

La primera de ellas consisitó en crimpar unos cables para hacer un cable RJ45 directo, otro cruzado, otro fue un cable RJ-11 y el último un cable híbrido con servicio redes y teléfono. Uno de los grupos lo entendió mal, y creó el cable Hidra, en el que, en lugar de 2 cabezas en cada lado, había 1 cabeza en un lado y 3 en el otro. No sé en que gaitas pensaban, pero el cable creo expectación.


Aquí más fotos

Para terminar de conseguir los puntos les llevamos un motor en HTML 5 para animar, al viejo estilo. Para ello el motor lleva un bucle de frames al infinito central en el que se lanzan movimientos en cada instante de tiempo. El ejemplo elegido fue el Double Dragon, y los grupos tuvieron que modificar el código y lo que quisieron para hacer la animación que más puntos ganase de sus compañeros. Aquí os dejo tres que me gustaron a mí.

Linux - BlogCamp from ts ds on Vimeo.



Tecnicoless - BlogCamp from ts ds on Vimeo.



Skynet - BlogCamp from ts ds on Vimeo.


Bueno, sin palabras, cada uno tiene su cosa. Todo está hecho en HTML5 sobre Internet Explorer 9 y seguramente os dejemos descargar el mini-motor, por si quieres hacer tú, tu propia animación. Lo cierto es que nos lo hemos pasado debuti. Nos vemos en la que montemos para el Asegúr@IT Camp 2!

Saludos Malignos!

domingo, septiembre 26, 2010

Buscadores que no buscan en sus correos

La anomalía tiene su gracia y reconozco que he mantenido un escepticismo incial hasta que con Gonzalo(El arte de presentar) hemos cubierto todos los casos. Aquí va el problema.

Supongamos que tenemos un mail gracioso que encontrar. De este correo no recordamos ni el asunto, ni el contenido, ni las fechas del mismo, pero sí tenemos un vago recuerdo de la dirección del correo. No sabemos como empezaba el correo, pero sabemos que es algo como XXXXperrofaluta@XXXX.XXX, es decir, que recordamos una parte parcial del correo. La preguna es... ¿será fácil encontrar el dichoso mail en Gmail o Hotmail? Pues no.

Gmail y Hotmail tienen ahora los dos la ayuda letra a letra con el comienzo de las direcciones, así, si ponemos en Hotmail una letra d, automáticamente nos sugiere una lista de direcciones de correo que empiezan por "d". Lógicamente no salen todos, luego si no tienes suerte de que salga el que buscas llegará un punto en que estarás perdido. Este efecto se consigue igual en Gmail si usas el operador from:


Ayuda a la búsqueda

Sin embargo, si buscas sólo por las primeras letras, no consigues ningún resultado. En el ejemplo anterior se puede ver en Gmail como existen correos desde batman@gmail.com.


Correos de batman@gmail.com

Pero... si buscamos por "bat", no aparece absolutamente ningún correo.


Cero resultados

El comportamiento es idéntico en Hotmail. La pregunta es... ¿cómo es posible que los mayores buscadores de Internet no tengan habilitada la capacidad de búsqueda de una subcadena en una dirección de correo?

Saludos Malignos!

sábado, septiembre 25, 2010

BlogCamp: Momentos

Anoche comenzamos la andadura con el BlogCamp, donde nos hemos juntado 35 enganchados a las tecnologías. Como casi todos tienen cuenta de twitter, puedes segurir todo lo que está pasando minuto a minuto en la búsqueda del hashtag de #Blogcamp. De ahí, he tomado algunas de las foros que han subido, para que véis en que consiste la cosa.

Primero la cena de ayer. Un par de mesas en las que nos pusimos gochos de fritos, embutidos y comidas grasas....


Cena light de la mesa número 1

Después de las copas de ayer (los que las tomaron), hay que despertarse en las cabañas para ir a las charlas. Antes desayunaco de tostadas, café, bollos y zumos.


Niditos de amor nocturnos.. ¿qué habrán pasado ahí por la noche?

La bienvenida la ha hecho Fernando Guilltot, de Spectra, y yo he estado ayudándole. Ambos disfrazados de Josemaricariño.


Fernando Guillot abriendo el evento

Después de una primera charla sobre la novedades de Hotmail, han tenido la primera prueba de habilidad para demostrar que no son unos técnicoless: Hacer 4 cables de red y teléfono.


Los chicos de Cyberhades "crimpandose"

Los ganadores se llevarán 1 XBOX por persona, así que hay que hacerlo bien.

De ahi nos hemos ido a re-desayunar otra vez y ahora están con la charla de HTML 5... y la cosa promete que alguno ya se está animando. Si es que los findes de semana sin ordenadores no serían fines de semana...

Saludos Malignos!

viernes, septiembre 24, 2010

A menos de 1 mes para la NoCONName

Durante el mes de Octubre tendrá lugar el congreso NoConName en Barcelona, uno de los hitos de este año: Recuperar la NCN en Barcelona. Silverhack y yo vamos a estar dando unos trainings y haremos alguna cena fiesta por Barcelona. Para todos los demás, os recomiendo que leaís la nota de prensa de la NCN y vayáis reservándoos las fechas si queréis asistir.

Saludos Malignos!

La seguridad informática, protagonista en el congreso “No cON Name 2010”

El congreso pretende consolidarse como uno de los encuentros principales del Sur de Europa en el ámbito de la seguridad informática.

Los próximos días 20 y 21 de Octubre tendrá lugar en el CosmoCaixa Barcelona la séptima edición del “No cON Name”, el congreso de seguridad informática con más antigüedad en España. Este evento anual reune tanto a nuevas promesas del sector como a expertos con experiencia, así como a profesionales en el campo de la informática en general, redes telemáticas, programación o ingeniería de protección de software. El congreso tiene lugar en un momento en el que la seguridad de equipos informáticos se ha convertido en la principal preocupación para empresas y particulares.

El congreso se orienta al intercambio para la actualización del conocimiento con el objetivo de estimular una industria puntera en seguridad. Para ello busca la construcción de un foro libre y abierto donde converjan tanto los conocimientos técnicos como la libre opinión.

Esta edición del “No cON Name” analizará diversas áreas clave de la seguridad asociadas a infraestructuras críticas como los sistemas de control de SCADA, responsables de mantener seguras las plantas de producción energética, como centrales eléctricas, de gas, eólicas o hidráulicas.

También profundizará en los sistemas de telefonía móvil que permiten, entre otros usos, las transacciones seguras mediante mensajes sms o la seguridad en tarjetas inteligentes, que permiten, por ejemplo, la identificación personal en los pasaportes, DNI, tarjetas de crédito o el acceso a instalaciones restringidas de alta seguridad.

El “No cON Name” ha organizado en esta edición una serie de concursos novedosos que pretenden dinamizar y cohesionar el evento, como el que anima a formar equipos de varias disciplinas para dar una respuesta rápida y efectiva frente a posibles problemas de seguridad informática en entidades especialmente sensibles como bancos o administraciones públicas.

Cabe destacar la implicación institucional de la Generalitat de Catalunya en el “No cON Name”. Josuè Sallent, director del Centre de Seguretat de la Informació de Catalunya (CESICAT) asistirá a la jornada inaugural del congreso. Además, el Secretari General de Telecomunicacions i Societat de la Informació de la Generalitat, Jordi Bosch intervendrá como ponente para abordar la seguridad informática desde el punto de vista de las políticas llevadas a cabo por su departamento y participará en un coloquio posterior con los asistentes al congreso.

El congreso se realiza gracias al apoyo de sus patrocinadores: Internet Security Auditors, Pentest.es, Blueliv, ackstorm y Evolium, y la colaboración del Centre de Seguretat de la Informació de Catalunya(CESICAT), la Generalitat de Catalunya mediante el plan TIC.cat y SecurityByDefault.

Nota de Prensa desde la NCN

jueves, septiembre 23, 2010

FOCA Pro 2.5.5. Role Oriented

El trabajo con FOCA no se toma ningún descanso. Mientras se van arreglando los bugs que encontráis y que amablemente nos envíais a amigosdelafoca@informatica64.com, seguimos evolucionando el funcionamiento y las capacidades de la herramienta.

En la próxima versión que se pondrá disponible, la 2.5.5, se va añadir una nueva evolución significativa para ayudar en el procesos de pentesting. La idea es que la herramienta vaya catalogando automáticamente los servidores en función de Roles y los muesrtre en un árbol que ayude a hacer mejor el análisis del dominio objetivo.

Como se puede ver en la imagen, un mismo servidor podrá tener distintos roles o puede que FOCA no haya sido capaz de detectar ningún rol específico para un servidor. Así, la herramienta permitirá también asignar roles manualmente.


La división en roles se ha creado para permitir optimizar las pruebas que se van a hacer a cada servidor. Por ejemplo, con esta nueva catalogación que se hace, FOCA intentará descubrir automáticamente si los servidores con rol DNS tienen la caché habilitada para hacer DNS Cache Snooping o la transferencia de zona abierta.

La idea es que las pruebas que se vayan haciendo puedan hacerse a servidores de un determinado Role. Todas estas funciones las vamos a enseñar en un par de trainings online que voy a impartir. Uno de ellos en Español (el 7 de Octubre) y otro en Inglés (el 14 de Octubre). Todos los que se apunten a los trainings recibirán una copia gratis de la FOCA Pro 2.5.5.

La versión FOCA Free 2.5.5 tiene previsto su liberación para el día 22 de octubre, justo tras la NoCONName de Barcelona.

Saludos Malignos!

miércoles, septiembre 22, 2010

Internacionalizados

Dentro de poco tenemos cierto evento con nombre de comida gallega al que quiero llevar esta pieza de arte que es el Fubolín Internacional, así que ya nos hemos hecho con él.


Como podéis ver, lo tenemos a buen recaudo dentro de las oficinas de I64. El futbolín está aún por usar, totalmente nuevo y hecho a mano. Una obra de arte en madera que habrá que cuidar con fruicción.

Los que estáis apuntados al FTSAI, u os apuntéis a próximos módulos, podréis tocarlo los viernes y jugaros quién pasa por debajo y quién paga las bir... los cafés del descanso.


Los demás tendréis que esperar al PRIMER CAMPEONATO FREAK DE FURGOLÍN INTERNACIONAL que tendrá lugar en el Asegúr@IT Camp 2. Aún quedan 10 plazas libres y el registro reducido acaba el 30 de Septiembre, luego costará más pasta.

Saludos Malignos!

martes, septiembre 21, 2010

The Art of Defacement

He de reconocer que mi deseo de aprender algún día a dibujar bien me lleva a admirar con envidia a todos los artistas. Algunos son dibujantes, otros pintores, escultores, graffiteros o fotografos, todos ellos artístas que me impactan, como el caso de "Bicasso" o los grafiteros callejeros que publico de vez en cuando en mi feizbuk.

Pero... hoy quiero publicar algunos de los que me llenan de curiosidad. Los defacers. Ya os hablé de las tendencias y publiqué el artículo de uno de mis alumnos del Master de Seguridad de la UEM sobre los defacements en 2009 tiempo ha, Algunos de ellos son dirigidos, como el hackeo de la web del Ministerio de la Vivienda, los que hizo el D.O.M. Team en las webs de partidos políticos o la Websticia cuando Argentina cayó derrotada en un partido de fútbol de manera triste.

De estos, de los dirigidos, me impactó el de la web de Kevin Mitnick en la que le pusieron un feo Pene corriendose en su cara. Muy poco elegante.


Defacement en la web de Kevin Mitnick


Con las webs de Spectra se puso de moda durante un tiempo colocar la famosa foto de Bil Gates recibiendo el tartazo a la salida de la comisión en Bruselas - si no recuerdo mal -.


Defacement en sitios Spectra


Sin embargo, al margen de los ataques dirigidos, cada grupo suele tener su propia firma. Cada una con un estilo y muchas de ellas incluso con música. Aquí van algunas de las firmas a ver cual es la que más os gusta.


Firma de iSKORPITX uno de los más activos


Firma de Tiger M@te


Firma de Team Emirates


firma de Q8 H4x0r


Firma de Purgatory-VX


Y, por supuesto, siempre quedarán los clásicos del Tag:


¿Cuál te gusta más a tí? Si te gusta esto, puedes ver todos los que quieras en la web de Zone-h e, incluso, puedes encontrar los defacements que les han hecho a ellos varias veces }:))

Saludos Malignos!

lunes, septiembre 20, 2010

Fiesta campera con el Internet Explorer 9

Sí señores, como ya pusieron nuestros compañeros con la beta de IE9 en Windows Técnico, la llegada de la versión final de Internet Explorer 9 está cerca. Aún se encuentra en la fase beta, pero tras la liberación de la última versión ya tenemos un producto mucho más funcional y "divertido".

Así que, para celebrarlo, nos vamos a ir de fiesta gratis por nuestra cara bonita y por ser bloggers de tecnología. Hay montando un fiestorro para este fin de semana que viene en el que estoy invitado a dar unas charlas, comer, dormir, cachondear, y disfrutar de la gente.

El evento tiene una agenda curiosa en la que se van a regalar 4 XBox a los flamantes ganadores de las pruebas. 4 a repartir entre la gente que vamos, que sólo somos 32, deja un buen ratio de probabiliades de que complete mi colección de consolas.

La agenda del sarao es de Viernes a Domingo, pero las charlas son únicamente el sábado y me han autorizado a daros algo de información sobre las mismas.

Primer día, 24 de Septiembre de 2010

17:00 - 19:00 Recogida en autobús en Spectra
19:30 – 20:30 Traslado al camping El Escorial
20:30 – 21:30 Check in
21:30 Cenaote de bienvenida

Segundo día, 25 de Septiembre de 2010

08:00 a 09:00 Desayuno
09:00 – 09:30 Registro
09:30 – 10:30 Hotmail killed the Radio-Star
10:30 – 11:30 Are You Técnicoless?
11:30 – 12:30 Re-desayuno
12:30 – 13:30 HTML 5
13:30 – 14:30 Técnicas Black SEO para empresarios de moral relajada
14:30 – 16:30 Lunch & Nap
16:30 – 17:30 Anti-phishing warriors
17:30 – 18:30 Be a Super-Star de la creatividad viral
18:30 – 19:00 Ceremonia de Graduación
19:00 – 21:30 Tiempo libre
21:30 Social Dinner

Tercer día, 26 de Septiembre de 2010

09:00 – 10:00 Desayuno
11:00 – 12:00 Check out
12:00 – 13:00 Traslado a Spectra

Las plazas están reservadas para Bloggers tecnológicos y periodistas y la lista ya está casi completa, pero si alguno tiene algún interés en venir, puede intentarlo enviandome un mail a mí sobornándome un poco, que tengo un par de plazas que puedo gesionar }:))

Yo, tal vez me anime a hacer otro Momentus Ridiculous, que hace mucho que no saco la dragqueen que hay en mí.... Por supuesto, una vez que este evento haya tenido lugar... ¿quién no quiere un poco de flame con Internet Explorer 9?

Saludos Malignos!

Ethical Hacking: Un enfoque metodológico

Durante la Ekoparty, lo que quizás más he disfrutdado ha sido la compañía de los amigos. Ha sido genial verlos y descubrir cosas. Una de las cosas que se me había pasado es que dos amigos míos, Ezequiel Salis y Claudio Caracciolo habían sacado un libro titulado Ethical Hacking: Un enfoque metodológico.

La gracia es que me regalaron una copia, sin darle mucha importancia, que me ayudó a pasar el viaje de vuelta a Madrid en el avión. Como no me dormía, lo abrí con curiosidad a ver que habían escrito estos "pájaros" de la empresa Root Secure.

De repente, tras leer un par de párrafos, me encuentro imaginándome a Hernán Racciatti de niño a punto de ir al colegio. Hernán hace el prólogo y me encantó la historia que cuenta con las preocupaciones de sus padres, así que me enganché a la lectura del texto con ganas, que está escrito junto a Marcelo Rodríguez.

El libro se lee bien, de corrido, y recoge todo lo que alguien que quiere dedicarse a seguridad informática debe saber de primeras y que se puede recoger en la siguiente frase: Cuál es el trabajo de un auditor de Seguridad.

Esto, que a priori parece evidente, no lo es y es por ello que para nosotros, el primer módulo del FTSAI es siempre esto. Durante 25 horas tratamos de explicar en que consiste el trabajo de Seguridad Informática. Que es una auditoría, un test de intrusión, las formas en que se contratan, como se hace un informe, como se mide el riesgo, las fuentes de información, etc... Todo está en ese libro de sólo 69 pesos.

Entre el viaje y el día de jet lag de ayer lo he repasado entero. Leyendo algunas partes, pasando en lectura diagonal otras que ya me conozco y siguiendo la historia por las herramientas que usan y me ha encantado. No suelo ser mucho de recomendar libros, pero si quieres empezar a entender en que consiste el trabajo de seguridad informática y el Ethical Hacking, este libro tiene mi Maligno-recomendación: Ethical Hacking: Un enfoque metodológico

Ezequiel, Claudio, gracias por ser más majos que las pesetas y enhorabuena por el libro.

Saludos Malignos!

domingo, septiembre 19, 2010

Ekoparty Rulez!

Si el otro día os narré mis primeras impresiones de la eko, hoy quiero contaros las últimas. Tras la finalización de la Ekoparty de este año, todo el mundo estaba hiperexcitado. Ha sido genial. El segundo y último día de las charlas fue brutal.

En cuanto a las charlas

El gran César Cerrudo comenzó la mañana repasando su historial de relaciones con Microsoft, IBM y otros Software Vendors, cuando ha tenido que reportarles fallos y cuál fue la causa de que cancelara, por presiones, la Semana de los Fallos de Oracle que tenía preparada para diciembre de 2006. Increible y divertida charla.

Claudio Criscione impartió la charla de Black Hat sobre Vasto y como cepillarse software de VMWare. Esta vez se lo curró para que la charla fuese divertidisima y ponermel difícil a mí, que fui después con Pentesting Driven by FOCA

Juliano y Thai revolucionaron el mundo de la seguridad con la charla del famoso bug 0day de ASP.NET que concluyó con el lanzamiento de pendrives con el exploit cifrado, la publicación del advisory por parte de Microsoft y la revolución generalizada.

Roelof Temmingh, creador de Maltego, realizó una charla sobre como es posible rastrear y enlazar datos a través de Internet. Desde un correo electrónico hasta los amigos de un fiestero del sexo. Genial.

Pablo Solé, digo una charla que a los exquisitos del exploiting encantó, sobre el uso de técnicas ROP y, para completar, Barnaby Jack enseñaba como sacar pasta de los cajeros por control remoto. Toda una fiesta.

En cuanto al CTF

Este año gano el Chema Team, tal y como se puede ver en el resultado final visto desde el iPad que se llevaron de premio. Ahí se aprecia el detalle del logo, que sí, lo elegido fue un bonito TUX para "homenajear" al "mentor" del equipo. Cuando subieron a recoger le premio confesaron que habían ganado gracias a FOCA. Jajaja. Me parto con vosotros, canallas!! }XD


Defacements

El ganador del CTF del año pasado, el EGO_Team, no pudo revalidarlo este año y, sabiendo que trabajan en la Universidad de La Plata, alguien quiso, el día antes, dejarles un deface en un dominio.


No fue este el único deface, ya que unos "hackers Turcos" dejaron una "pija enorme" en la web del centro donde se celebraba la Ekoparty. Animado el día.

El Video Juego de Inmunity

Ya os dejé una imagen, pero aquí tenéis un video en el que me patean el culo. Hay que reconocer que el juego está genial, pero a Ergot le voy a matar por las fotos que elijió para mi personaje...


Calendario Tórrido

Luciano Bello, Alexav8, Lorena, Cristian Borghello y DragónJAR se hicieron la foto del Calendario Tórrido 2011, vamos a por los siguientes.

La Fiesta Final

Después de todo el ajetreo, por la noche hubo una fiesta en la que pasó de todo. Veréis la cosa comenzó con [CENSORED].

Conclusión

La Eko de este año ha sido IMPRESIONANTE.

Saludos Malignos!

sábado, septiembre 18, 2010

FOCA 2.5.2: Algunos detalles

Recientemente pusimos a disposición de todo el mundo la versión 2.5.2, pero no os había contado aún que cosas nuevas traía, así que aprovecho para explicaros un par de detalles que la acompañan, además, por supuesto, de arreglar todos los fallos que nos vaís pasando.

Análisis de certificados digitales en servidores web

Una de las áreas por donde va a seguir "engordando" la FOCA es por la parte del análisis de certificados digitales instlados. Para ello, en un primera aproximación, FOCA 2.5.2, cuando encuentra un servidor web, intenta descargar el certificado en la conexión https.

En este ejemplo FOCA ha descubierto este servidor web del dominio army.mil mediante la búsquea de documentos.


Figura 1: Dominio descubierto por búsqueda de documentos

FOCA, automáticamente, en el directorio configurado en el proyecto, almacenará una copia de los certificados digitales descargados. Estos certificados tienen un nombre que indica primero el nombre del dominio del que se ha descargado, y en segundo lugar el nombre de los dominios para los que se ha creado.

En el ejemplo, se puede ver que FOCA ha encontrado que en el dominio www.fcs.army.mil hay un certificado que también identifica a www.bctmod.army.mil y por eso crea el fichero del certificado con el nombre www.fcs.army.mil_www.bctmod.army.mil.crt.


Figura 2: Certidicados descubiertos

Así, en la FOCA, el dominio www.bctmod.army.mil aparecerá como descubierto por Fingerprinting.


Figura 3: Dominio descubierto

En próximas versiones, FOCA crecerá en el análisis de certificados, pero de momento ya busca los servidores, que era una petición antigua.

Upload & Delete Ficheros en métodos PUT

La parte de métodos inseguros también ha sufrido una pequeña modificación. Se ha añadido un menú contextual que permite, de forma sencilla, explotar una vulnerabilidad de PUT o DELETE para subir o borrar un fichero en el servidor.


Figura 4: Upload o Delete ficheros

Por favor, utiliza esta opción con prudencia.

Sólo son un par de detalles nuevos, pero esperamos que estos pasos os vayan ayudando a realizar, de forma más sencilla, vuestros procesos de Pentesting.

Saludos Malignos!

viernes, septiembre 17, 2010

Ekoparty Rocks!

Tras los trainings de estos días, el día 1 de la Ekoparty está llegando a su fin. Ha sido genial ver a tanta cara conocida e interesante en la conferencia. La Eko está, literalmente, a rebosar de gente. La sala tiene capacidad de 700 personas y este año somos un poco más de 725 las cabezas que hemos pasado por allí. En la siguiente foto se puede ver que no hay ni un sitio libre.


La sala de conferencias repleta de gente

Además de la sala de conferencias, está la zona de exposición, el espacio para el CTF y las zonas de charla, donde he podido disfrutar de la compañía de un montón de amigos que me han hecho reir, pensar y sentirme feliz.

Bueno, todos menos los que han pasado por el stand de Inmunity a patearme el culo. El equipo de Nico Waisman se ha currado un juego de lucha en el que ha metido a un número de gente con la que te gustaría partirte un poco la cara. Entre los superheroes están HD Moore, Joanna Rutkowska, Tavis Ormandi, Dave Aitel, etc... y también me han metido a mí. Además, los muy ·"$"%· se han "esmerado" en seleccionar mis mejores instantaneas para que saliera superguapo.


Selección de jugadores

En fin, que está siendo un éxito increible la Ekoparty, y que se nota la buena mano de los organizadores y colaboradores que se esmeran en hacer de este un evento de referencia todos los años. Ekoparty Rocks!

Saludos Malignos!

jueves, septiembre 16, 2010

La FOCA en Linux

Con lo que me gustaba a mí decir eso de "FOCA sólo corre en Linux" y resulta que se me va a acabar el chollo. Sí, Vicente Motos de Hackplayers se ha currado la ejecución de la misma en Wine... y rula.


La explicación de como lo ha realizado usando Wine lo tienes en el siguiente par de artículos que tiene publicado en su blog:

- FOCA en Linux Parte 1
- FOCA en Linux Parte 2

Vicente lo ha hecho sobre un openSuSE 11.3 con KDE y utilizar la FOCA ha sido tan sencillo como seguir los siguientes pasos:

- Descomprimir el zip con todos los ejecutables y librerías que utiliza la FOCA

- Instalar wine: # yast2 --install wine

- Instalar componentes necesarios: Microsoft .NET Framework 2.0, gdiplus y fontfix (mejor con Winetricks)
# winetricks dotnet20 gdiplus fontfix

- Ejecutar la FOCA por medio de Wine

# wine ‘FOCA Free.exe’

- Y , ¡divertirse!

Bueno, me alegro de tener una excusa también para no portar la herramienta entera a Perl y de que podáis disfrutar todos de la FOCA en cualquier sitio.

Saludos Malignos!

miércoles, septiembre 15, 2010

Calendario quincena 2 de Septiembre

Mientras que yo estoy de j.. trabajo en Argentina estos días, os dejo la lista de cursos y actividades que tenemos para las próximas dos semanas. Esta vez con formaciones centradas en seguridad informática.

La semana del 20 al 24 hay dos cosas nuevas que hacemos por primera vez. En primer lugar tenemos una semana de Fortificación/Bastionado/Hardening de servidores Microsoft con las últimas versiones.

Semana de Hardening en Madrid

20 Hardening Exchange Server 2010
20 Hardening Windows Server 2008 R2
21 Hardening Active Directory Windows Server 2008 R2
22 Hardening SharePoint Server 2010

(Se entregará el libro SharePoint 2010: Seguridad)
23 Hardening SQL Server 2008 R2
24 Hardening IIS 7/7.5


Después, para todos vosotros que no podéis venir a las formaciones presenciales ni a los VHOLs porque perdéis todo el día, hemos recogido una idea que nos llegó y vamos a hacer unos VHOLs en formato reunión. La idea es que tú te reservas 1 hora al día y haces el VHOL sin perder 1 sólo día de trabajo.

Semana de VHOLs en modo reunión 20 al 24 de Septiembre

- Implementing Windows Server 2008 R2
- Implementing Windows 7
- Implementing SQL Server 2008 R2


Esa misma semana, además, el día 21 Rubén Alonso, MVP de SharePoint, escritor del Blog Punto Compartido y autor del libro MS SharePoint 2010: Seguridad impartirá un webcast que resume los contenidos del libro durante 1 hora.

21 Webcast Hardening SharePoint Server 2010

No será el único webcast ya que el día 24, Quest Software, por medio de César Moro, impartirá un Webcast sobre Herramientas de Migración de Notes a BPOS.

Por fin, para acabar el mes de Septiembre, tendremos una semana en Madrid con los productos de Forefront. Esta vez con la novedad de que se darán todos ellos con Forefront TMG 2010 Service Pack 1 y con la aparición de la primera formación del nuevo antimalware corporativo para desktops de Microsoft: Forefront Endpoint Protection 2010.

27 Forefront Endpoint Protection 2010
27 Forefront Protection 2010 for Exchange
28 Forefront TMG 2010: Implementing
29 Forefront TMG 2010: Firewalling
29 Forefront UAG 2010
30 Forefront TMG 2010: VNS & Branch Offices
01 Forefront Protection 2010 for SharePoint


A todos los que se apunten al track de Forefront TMG 2010 se les entregará el libro de Forefront TMG 2010.

Por último, recuerda que el día 30 de Septiembre acaba el periodo de registro reducido del Asegúr@IT Camp 2.

Saludos Malignos!

martes, septiembre 14, 2010

Aprende a usar el feisbuk..o muere socialmente

La verdad es que no he podido resistirme y tengo que poneros estas dos fotos de dos personas que necesitan aprender a utilizar correctamente Feisbuk. Están dando la vuelta a Internet y no quiero dejar de ponerlas.

Regla 1: Nunca pongas tu password en ningún sitio


Regla 2: Selecciona las fotos antes de volcar la tarjeta de tu viaje


Me descojono....

Saludos Malignos!

lunes, septiembre 13, 2010

CTF by RoMaNSoFt & Dreyer

El viernes próximo (17/Sep, 20h CEST) dará comienzo un concurso de seguridad web (para que nos entendamos: a lo "Boinas Negras") que he organizado aprovechando algunas pruebas web que diseñamos Dreyer y yo con motivo del pasado CTF de la RootedCON'2010, y que tiene como premio el nuevo iPod touch de Apple (esto es, el 4G), cortesía de Hispasec Sistemas.

Podéis encontrar más info aquí (el periodo de inscripción ya está abierto)

Aclarar que se trata de una iniciativa propia ya que yo ya NO tengo nada que ver con RootedCON desde hace aproximadamente 6 meses (dejé el proyecto tras concluir la primera edición del congreso)

Por último, aprovecho para comentaros que el pasado fin de semana publiqué además los resultados del *pasado* CTF, junto a otros detalles.

En fin, que os animo a participar en el concurso y a luchar por el precioso iPod... ¡que además vendrá con dedicatoria incluida (a láser)!

RoMaNSoFt

Como meter un exploit en una web con ingenio

No, no es una lección de defacements, ni como crear un fichero en una ruta del servidor utilizando técnicas de SQL Injection o un Shell colada por LFI o RFI. Este artículo sólo es para contaros una historia de un asistente en la Black Hat USA 2010 Arsenal y cómo él utilizaba la FOCA.

Allí, mientras estaba enseñando la FOCA a los visitantes que se acercaban a ver como funcionaba, uno de ellos me dijo que la usaba y que le gustaba mucho, que era un "FOCA Lover".

Mientras yo explicaba las funciones y lo que se podía hacer con FOCA, él escuchaba atento, hasta que un momento se arrancó y nos comentó una forma más sencilla de utilizarla. Su idea era bastante imaginativa.

"Si conoces quién edita un documento, es decir, el autor del mismo, y conoces quien lo publica en la web, es decir, el webmaster, entonces sólo tienes que modificar el documento publicado, supongamos un PDF, y meter un exploit. Después, enviar un e-mail al webmaster suplantando al autor y solicitando que actualice el documento, que había una errata en la versión anterior. Con FOCA puedes averigura fácilmente quiénes son los autores de los documentos y luego buscar en la própia página web al webmaster."

Esta idea es curiosa, y nos comentó que lo usaban para colarse en los equipos en las intranets por medio de reverse shells en procesos de pentesting para descubrir si el proceso de publicación de documentos en la web estaba fortificado. Hay que reconocerles el ingenio.

Yo he ido a ver por ahí esos sitios que tienen publicados en sus webs ficheros tomados de otras y ver si costaría mucho construir un ataque así. Por ejemplo, en esta web se puede ver que están publicando un manual de Guadalinex que puede ser descargado desde la URL de publicación original o del propio repositorio que tiene esta web.


Figura 1: Web publicando ficheros copiados

Éste es un sitio perfecto para hacer el ataque ya que hay una desconexión entre el documento original, el autor, el documento que ellos publican y el webmaster.

Si miramos los metadatos del documento, se puede ver quién es el autor del mismo.


Figura 2: Metadatos en el manual de Linux

Con estos datos habría que crear una historia y montar un correo diciendo algo como lo que siguiente:

"Hola, soy XXXX, el autor del documento que estáis publicando en esta URL... Hemos actualizado el documento porque el que estáis publicando contiene un par de erratas gordas. Os paso el documento para que por favor actualicéis el fichero en vuestro servidor.

Un saludo cordial...."


¿Funcionará el engaño? Quién sabe... no vamos a ser tan malos de probarlo si no es en un pentesting contratado, pero os aseguro que lo probaremos allí. Imaginación al poder.

Saludos Malignos!

domingo, septiembre 12, 2010

Ataque David Hasselhoff: Ahora más fácil

El viernes, buscando un post, me dí cuenta de Google en España ya tiene el ataque de David Hasselhoff como uno de los términos de búsqueda recomendados, así que, he pensado que, para todos los que prácticáis o vaís a practicar este ataque con el fin de aleccionar a los usuarios que se dejan las sesiones abiertas, sea más fácil realizarlo.


El proceso normal para la realización de este ataque es buscar la siguiente foto en Internet:


Y desde el própio navegador usar la opción de "Establecer como fondo de Escritorio".

Con el objetivo de simplificar la tarea he creado una URL que todos podáis recordar:

http://tinyurl.com/AtaqueDavidHasselhoff

Es fácil de tener en la mente y sólo debes prestar atención al apellido, que tiene dos eses y dos efes. De esta forma podrás enseñar a bloquear a los usuarios sus sesiones de una vez por todas, incluso cuando se hayan ido de su puesto sólo 1 minuto.

Saludos Malignos!

PD: Gracias a Pedro Laguna por crear este ataque. Te esperamos en el Asegúr@IT Camp 2 }:))

sábado, septiembre 11, 2010

Entrevista a Yago de Security By Default

Tenía ganas de retomar la realización de entrevistas y quería hacerlo con alguien que estuviera haciendo cosas buenas por la seguridad en España. En mi lista salieron muchos nombres a los que debo pedir perdón por tener tan poca vergüenza de no haberme puesto en contacto con ellos. De repente, uno de los de la lsita apareció por el twitter y me dije... Te tocó Yago.


Yago es uno de los pulmones en Security By Default, quizá de los cuatro que están ahora al que menos veces he visto en persona, pero que tenía ganas de indagarle debido a su facilidad para moverse con la misma facilidad analizando un volcado hexadecimal que gestionando la imagen 2.0 de una compañía. Es capaz de crear una herramienta para buscar rootkits en un sistema como de crear una herramienta 2.0 para conectar personas que no saben nada de informática. Me supera infinitamente esa amplitud de visión del mundo de la tecnología e intento aprender de las cosas que veo y me cuenta un "amigo común" que de vez en cuando me cuenta algo como: Yago es la polla, se le ha ocurrido que...

Yago se ha prestado a que le hiciera preguntas y las ha contestado para todos vosotros con su estilo. Aquí están las repuestas tal y como las ha plasmado él.

Saludos Malignos!

1) Yago, ¿cómo nació Security By Default?

Todos nos conocíamos de antes, siempre habíamos divagado sobre la idea de plasmar en una web las cosas de las que hablábamos, un día dimos el paso y aquí estamos. Como curiosidad nunca antes explicada, el nombre es un pequeño guiño al slogan de OpenBSD 'Secure By Default'. Lo bueno de SbD es lo dispares que somos entre nosotros, Alex es un fuera de serie, me recuerda al mítico Indurain, cuando se pone en algo empieza a tirar y tirar y en poco tiempo ya ha abierto brecha, hace un montón de cosas y todas bien. Lorenzo es un 'pata negra' un tío que sabe de verdad. Mucha gente cuando dice cosas como 'yo sé programar en Python' normalmente quiere decir 'he ojeado un manual y escrito 2 programas', en el caso de Lorenzo cuando dice 'sé algo' significa que probablemente podría escribir las RFCs desde 0 del tema en cuestión. José Antonio es un poeta de la seguridad, en mi opinión es el que tiene más perfil 'blogger', sabe cuando tocar un tema 'hasta el fondo' y cuando simplificar los conceptos.

2) Y tú.. ¿cómo acabaste con los ordenadores frikeando? ¿Cuál es tu historia?

Bueno, mi historia es algo peculiar, en mis años de estudiante estuve tonteando con la publicidad, el marketing ... Siempre tuve un interés especial por la informática y la seguridad. Empecé a conectarme desde que tenía 12 años al mítico IBERTEXT (con factura de 200.000 pts de la época incluida) luego di el salto a Internet, de ahí a Linux, de las comunidades linuxeras a las de seguridad y finalmente a dedicarme profesionalmente a ello.

Profesionalmente me he movido mucho y he hecho de todo, en su momento hice pentest, en la época del boom IDSs participé en uno de los despliegues más importantes a nivel Europeo para 'El ISP dominante', junto con Lorenzo montamos el departamento de seguridad para otro gran ISP 'del cable'. Luego estuve en el despliegue de la PKI del DNI-e, también diseñé y desarrolle una herramienta para cifrar dispositivos móviles para una entidad bancaria. Estuve como responsable del área de seguridad y monitorización en un proyecto militar ...


3) Ahora cuéntanos esa relación tan cercana que tienes con "Él", que se te ve muy acarameladito alguna vez.

jaja !! Evidentemente te refieres a Enrique Dans ! Sí, es cierto me llevo genial con Enrique. Yo le conocí a raíz de 'cierto incidente' con su cuenta Twitter, no le conocía y realmente pensé que igual 'la broma' podía no haberle sentado bien. Todo lo contrario, estuvimos hablando por Gtalk y él se lo tomó con un fair play impresionante. A raíz de eso nos hicimos amigos. Te aseguro que Enrique es una persona cercana, accesible y con un gran sentido del humor. Evidentemente alguien que lleva tantos años opinando diariamente, mete la pata, lógico. Pero tampoco olvidemos los aciertos, por ejemplo con Twitter. Hace no mucho yo mismo pensaba que Twitter era solo un juguete snob sin futuro. Le di una oportunidad y realmente me he dado cuenta de la cantidad de posibilidades que tiene. Enrique apostó por Twitter como elemento con mucho futuro desde el primer día.

En definitiva, no creo en los colectivos o grupos, creo en las personas individualmente. Probablemente, (seguro) que en los ambientes del Internet hispano 'de masas' hay personajillos despreciables que no merecen tanta atención, pero en mi humilde opinión basada en mi experiencia, Enrique no es uno de ellos.


4) Y ahora con cosas serias.. Patriot. ¿Cuándo estará acabado? ¿Qué traerá en la versión final?

En plan primicia te adelanto que ya hay disponible una RC-1 de lo que será Patriot-NG, ciertamente tenía muy abandonado ese proyecto, con solo decirte que la versión anterior es del 2004 y fue programada en un Windows 2000...

Esta versión trae principalmente compatibilidad con Windows Vista y 7. Se han arreglado bugs antiguos y se han añadido nuevas cosas, como por ejemplo, gestión de amenazas TCP/IP (ahora se monitorizan procesos que abren conexiones al exterior, procesos que ponen sockets a la escucha, detección de portscans...)

Agradecería infinitamente cualquier feedback, animo a todos tus lectores a probarlo.


5) ¿Qué tiene Zaragoza que no tenga Madrid y que eches de menos cuando llevas tiempo sin volver a casa?

Zaragoza es una ciudad muy tranquila, todo queda muy a mano y, quitando el insoportable cierzo, un lugar ideal para establecerse.

Es una pena que desde hace años Zaragoza ha sufrido una horda de políticos realmente penosa que han tenido nulo interés en apostar por el desarrollo tecnológico. Primero, en la época gloriosa socialista, con un Alcalde corrupto e incapaz, que, por ejemplo, impulsó 'el turismo' en Zaragoza fletando autobuses Madrid-Zaragoza los fines de semana para atraer gente a las zonas de bares (Zaraguay la llamaban en Madrid ...), lo último que recuerdo de él es que le imputaron por ponerle una joyería a una ex-prostituta 'amiga suya' con fondos públicos. Después de este hombre, llegaron los 'años grises' del PP con Luisa Fernanda Rudi. Tendría que recurrir a pasajes del señor de los anillos para describir como dejó Zaragoza ... Ahora al menos hay un político 'de talla', más moderno, que impulsó la Expo y parece que algo está cambiando.


6) No te mola mucho eso de dar charlas, aunque te vimos en la Campus, pero... ¿para cuándo un libro?

Ciertamente me encantaría, pero ya sabes algo sin DRM (salvo para Itunes) :P

7) ¿Qué le recomendarías a cualquiera que quisiera aprender seguridad informática?

Creo que, muerta (o casi) la scene underground, yo apostaría por una formación reglada: certificaciones, cursos. Estar al día leyendo blogs, listas de correo, usar Twitter...

8) Seguro que eres tan friki como todos. Recomiéndanos tres libros de lectura (no técnica).

1- 'La conjura de los necios': Imprescindible, deberían darlo como 'welcome pack' en cualquier gran empresa a sus empleados

2- 'La velada en Benicarló' de Manuel Azaña: Lectura obligatoria para comprender lo que sucedió en los convulsos años de la II República

3- 'Tu puedes' de José Ignacio López de Arriortúa: Este libro ha sido, de lejos, mi mayor influencia profesional. Es una especie de biografía de José Ignacio (AKA SuperLopez) aquel famoso directivo que puso en jaque a Opel y Volkswagen. En el libro narra como, por ejemplo, fue a Japón en la época en la que Japón era la meca de la optimización y les pasó por encima con sus revolucionarios paradigmas.


9) SecurityByDefault es un referente para todos nosotros. ¿Funcionáis con alguna organización editorial o simplemente cada uno se "emociona" con un tema distinto?

En principio no hay una distribución clara. Tratamos de alternar post muy técnicos, con herramientas hechas por nosotros, etcétera, con posts de actualidad y opinión o meramente divulgativos. La idea es que pueda resultar interesante a gente que le interesan cosas más 'low level' y también a gente que le interesa la seguridad como complemento profesional o hobby.

10) ¿Quién te ha impresionado en este mundo de la seguridad informática?

Ahora que estamos de resaca post-mundial, te haré mi pequeña 'Selección Española de seguridad':

Empezamos por la defensa:

Mi 'casillas' particular sería Luis Corrons, director técnico de Panda, creo que él y su equipo están haciendo un excelente trabajo 'parando' amenazas.

'Sergio Ramos' sería Vierito, un tío muy bien dotado técnicamente y con una capacidad para esforzarse infinita.
'Tiburón Puyol' creo que encaja perfectamente en mi compañero Lorenzo, ambos son expertos en 'cerrar' brechas, seguros y fiables.

'Gerard Piqué' lo veo encarnado en Pedro Sánchez de Conexión inversa. Ambos son el último recurso cuando el resto del sistema defensivo ha sido comprometido :)

'Joan Capdevila' me recuerda a Daniel Peláez AKA _metalslug_ de Hacktimes: Son gente que van por la vida sin estridencias ni metiendo ruido pero que todo lo que hacen, lo hacen bien.

'Busquets' se parece a Alberto Ortega de aw3a, ambos comparten como denominador común que son 'demasiado buenos' para la edad que tienen, sin duda dos superdotados.

'Xavi' me recuerda a un tal Chema Alonso, comparten como virtud que hacen mejores a sus compañeros, saben en qué momento y a quien 'dársela' para que la jugada sea perfecta.

7- 'Xabi Alonso' claramente es mi compañero José Antonio, polivalentes, dan sentido y criterio al juego. Lo mismo defienden que dan un pase de 30 metros.

8- 'Sweet Iniesta' evidentemente es Rubén Santamarta, finísimo mediapunta de ilimitada creatividad y talento.

9- 'David Villa' se asemeja a mi compañero Alex, capaz de rematar una jugada como un 'killer' nato o de fabricarse su propia jugada si hace falta.


11) ¿Qué sistema operativo es el que corre en la máquina de Yago?

En mi equipo principal una Fedora Core 12+1, en mi netbook un flamante Windows 7.

12) Yago, de todos los proyectos en los que embarcas, ¿de cuál de ellos te sientes más orgulloso?

Por notoriedad y repercusión diría que mi niña bonita es Unhide , implementa un buen número de técnicas para detectar rootkits / malware en Linux bastante novedosas (incluso ya hay varios proyectos parecidos que implementan conceptos sacados de Unhide) A día de hoy está como paquete oficial en prácticamente cualquier Linux (Fedora, Debian, Ubuntu, Mandrake) e incluso como port en FreeBSD.

13) Venga, adelántanos algo del Wargame que haréis en SbD.

Aún estamos en fase de definición de las pruebas, la idea es intentar llegar a un punto de equidad entre pruebas que se resuelvan por 'idea feliz' y otras que tengan más enjundia.

14) ¿Has sido gamer? ¿Qué juego ha sido el que más horas te ha quitado? ¿Eres gamer ahora?

Lo cierto es que nunca he sido demasiado gamer, el único juego que llegó a engancharme en plan no duermo, no como, no vivo ... fue Civilization. Ahora no juego mucho, me van los juegos tipo GTA y la parte del manager de los FIFA.

15 ¿Qué lees para estar al día? Recomiéndanos alguna cosa fina, fina.

Difícil pregunta, ya que estamos tan 'globalizados' que es complejo decir sitios que no sean conocidos ampliamente. Me la juego con el blog 'Command Line Kung Fu' es realmente adictivo y se aprende ¡¡ muchísimo !!

16) ¿No te animas a posar para el Calendario Tórrido? Que seguro que harías feliz a muchas fans...

Me habría animado a un 'Maños Power' con Pedro Sánchez, pero como ya lo has ubicado con otro ... Para el siguiente :P

17) ¿Te dejarías liar para dar alguna charlita en alguna de mis apiroladas? ¿Y te podrías mi gorro como Alex? }XD

Podríamos hablarlo ... pero realmente me seduce mucho mas la idea del libro.

18) ¿Cuántas horas le dedicas al día a la seguridad informática para dar la calidad que dáis a los posts técnicos?

Uf ! supongo que una vez que estás metido en harina el número de horas se dispara, imagino que influye cuando tienes 'algo entre ceja y ceja' ahí ya entro en visión-túnel y las horas caen ad infinitum.

19) Si "Él" te lo pidiese, ¿dejarías tu faceta técnica para una vida de lujo y placer como técnicoless?

jaja ! Hombre, una vice-consejería de seguridad adscrita al ministerio de educación y ciencia ...Imagina la cantidad de subvenciones que asignaría a Informática 64 !!

20) Yago, esta última para que te pringues... ¿cómo ves la seguridad informática en las empresas de este país?

Creo que se ha avanzado bastante, pero aún estamos lejos de un punto que sea equiparable a otros países. Te pondré un ejemplo: Conozco a una persona que es responsable de un área crítica de seguridad en un banco. Esta persona está contratada para ese puesto a través de una subcontrata de otra subcontrata.

Saludos!

viernes, septiembre 10, 2010

Como no hacer una página login: Ejemplo con Twitter

Cuando Moxie publicaba en 2008 sslstrip expuso varios trucos para engañar a un usuario que iban desde poner favicons con candados hasta quitar todos los enlaces https. Entre los trucos que presentó, uno de ellos era bastante sencillo basado en la mezcla de contenido.

Imaginemos una página que se entrega por Https, por ejemplo la página de login. En uno de los enlaces se va a generar el envío de credenciales a una aplicación y este puede ser https o http. Lo que el usuario espera es que sea https, pero... ¿qué pasa si se dejan todos los links con https menos justo ese utilizando sslstrip en un ataque mitm? Pues lo que pasa es que el usuario vería un candado y el link a https en la barra de tareas, pero no todo el contenido ha sido entregado cifrado.

Los navegadores, cuando esto sucede, a día de hoy, intentan generar un mensaje de alerta, para que el usuario esté informado. Sin embargo, como pasa muchas veces, si las cosas que debían estar bien hechas generan las mismas alertas, el usuario no sabrá diferenciar entre una alerta producida por un ataque o porque la página está mal construida. Es el mismo ejemplo que se mostró en La muerte social del SSL en la banca, pero ahora en mezcla de contenido.

Un ejemplo con el login de Twitter

En twitter utilizan un certificado digital de validación extendida, que además ha sido generado para evitar los ataques de TLS Renegotitation. Como se puede ver, la herramienta de Qualys de comprobación de certificados le da un 88, mejor incluso que el de Microsoft.com que obtiene un 85.


Figura 1: Evaluación del certificado de twitter.com

Sin embargo, si entramos a la página de login, se puede ver que se genera una alerta de contenido entregado de forma insegura. ¿Te habrán inyectado algo?. ¿Me habrán hecho un ssltrip a algunas partes?


Figura 2: Alerta de contenido entregado de forma insegura con IE8

Si observamos el código fuente, la mayoría de los enlaces son relativos a la URL,, así que, como estamos con https en la URL son enlaces seguros, pero, si se hace una búsqueda del protocolo http, se puede ver que hay carga de archivos inseguras.


Figura 3: carga de archivos por http

Lo curioso de esto es que si se solicita de forma manual uno de esos archivos entregados de forma insegura por https, el sistema lo entrega.


Figura 4: Acceso a fichero por https

La pregunta entonces es ¿por qué no entregar todos de forma segura? En estas lides la respuesta suele ser siempre algo en base al rendimiento. Es cierto que estos archivos no tienen ningún dato que a priori parezca sensible, pero la entrega de ellos por http se cepilla la protección de toda la página y abre un camino para que los usuarios no sean capaces de diferenciar entre una entrega segura de la página o una entrega stripeada.

Luego, cuando me preguntan en una entrevista... ¿cómo puede saber un usuario si una compra es segura? no tengo tiempo para responder todas las cosas que habría que mirar.

Saludos Malignos!

jueves, septiembre 09, 2010

Calendario en Sudamérica

El calendario de actividades durante la primera quincena de Septiembre ya os lo publiqué, pero para los que me estáis preguntando por el twitter, blog y correo electrónico, os paso la agenda de mis charlas durante la semana que viene en Bolivia y Argentina:

- Lunes 13: Bolivia (La Paz)

Será en el Radisson Plaza Hotel junto con Bitdefender. Es gratuito y durará toda la mañana. El registro es vía e-mail a registro@comol.com.bo, pero si no puedes hacerlo o no te contestan, mándame el correo a mí o ven directametne, que ya lo gestiono yo. La agenda y toda la información la tienes en el siguiente link: más información

- Martes 14: Argentina (Buenos Aires)

Será por la tarde, en el Hotel Eurostars Claridge. Es gratuito y será por la tarde, de 17:30 a 20:30. El registro se hace vía mail a marketing@bitdefender.es. Si no te contestan, mándame un correo a mí o ven directamente, que ya me apaño yo. La agenda y toda la información en el siguiente link: más información

- Miércoles 15: Argentina (Buenos Aires)

Training de la Ekoparty sobre Information Gathering. Es de pago, pero tenemos algún código descuento si quieres asistir. Tienes toda la información en este link: Training Ekoparty

- Jueves 16 y Viernes 17: Ekoparty

Tienes que estar allí, si no te vas a arrepentir. Toda la información en Ekoparty.org

Saludos Malignos!

¿Qué máster de seguridad hacer?

Cíclicamente, cuando llegan estos periodos estivales, aparecen las dudas sobre que máster de seguridad hacer. A esta respuesta ya os contesté hace un año, palmo más o palmo menos, bajo mi punto de vista en el post de Másters del Universo.

Para los que me habéis preguntado en que máster voy a dar clase, os dejo la lista (no son tantos, no os asustéis)

- Master Universitario en Seguridad de las Tecnologías de la Información y las Comunicaciones de la UEM: Se realiza los viernes por la tarde y los sábados durante todo el día. Este será el tercer año que dé clase en él y, además, este año soy Director Externo del mismo. El máster tiene parte técnia y parte de seguridad para CSO, ya sabéis: LOPD, CISAs, 27001, SGSI, etc... Además, en la parte técnica me aguntaréis a mí con... "aquí os dejo el examen del año pasado" y los asistentes, directamente harán los examenes de certificación D-Link en Switching y Firewaling. Es presencial y se hace en Madrid y Villaviciosa de Odón y es Oficial.

- Master de Seguridad de la UOC: Se hace online, y en él llevo la asignatura de Seguridad en Aplicaciones Web. Además, en él está también Palako en la asignatura de Programación Segura y RoMaNSoFt en la de Seguridad en Sistemas Operativos. No es oficial, pero se está tramitando.

- Master Univesitario en Investigación en la URJC: En este master sólo damos la asignatura de Seguridad Informática entre tres: Gonzalo Álvarez Marañón, Alejandro Ramos "dab" y yo. Son 30 horas con nosotros, se hace en Móstoles y es oficial, pero no es sólo de seguridad.

- FTSAI 6ª edición: No le pusimos la palabra la Máster porque pensabamos que en los cursos privados estaba demasiado manida. Este curso es para técnicos que quieran aprender seguridad informática, auditoría y técnicas forenses. Se hace en Móstoles, todos los viernes por la tarde y te puedes apuntar al curso completo o a módulos sueltos. Comienza este viernes 10 de Septiembre y lleva las certificaciones D-Link y los libros de Forense, LOPD y TMG.

Espero que os haya respondido a todos los que me habíais preguntado y/o estéis buscando un Master que hacer.

Saludos Malignos!

miércoles, septiembre 08, 2010

Libro SharePoint 2010: Seguridad

Llevamos trabajando desde el mes de Julio media docena de personas en la organización, escritura, montaje de entornos, revisión, maquetación y acabado del libro, pero ya está acabado. Desde esta tarde es posible comprar ya el libro de Microsoft SharePoint 2010: Seguridad.

El escritor del libro es Rubén Alonso, MVP de SharePoint Technologies, escritor del blog Punto Compartido y sufridor hermano pequeño del Maligno. La parte de Fortificación y Pentesting ha recaido en las manos del gran Silverhack y en las mías, que hemos enredado con el producto para dejarlo lo más fortificado posible y para detectar cuando uno que está en producción tiene configuraciones débiles. Por último, la parte de publicación segura de cara a Internet y la protección antimalware ha recaido en las manos del ya veterano en estas lides, Juan Luis G. Rambla, autor ya de los libros de Forefront TMG 2010 y Aplicación de la LOPD en la empresa. El diseño de la portada ha corrido a cargo del gran Rodol y hay que agradecer las labores de Manuel Sánchez Chumillas en la lectura y revisión de partes del texto y de Antonio Díaz en la maquetación del mismo.


El libro mantiene la estructura de las publicaciones de Informática 64, tiene 256 páginas y cuesta 20 € más gastos de envío. El contenido de los apartados está dividido en los siguientes capítulos:

- Capítulo I: Fortificación de Arquitecturas SharePoint
- Capítulo II: Modelo de Seguridad en SharePoint
- Capítulo III: Copia de Seguridad y Restauración
- Capítulo IV: Gestión de Auditorías
- Capítulo V: Protección contra fugas de información en metadatos
- Capítulo VI: Protección antimalware con Forefront Protection 2010 for SharePoint
- Capítulo VII: Publicación perimetral segura
- Capítulo VIII: Pentest en servidores SharePoint


El índice completo de todos y cada uno de los capítulos está disponible en la URL de compra: Libro de SharePoint 2010: Seguridad.

Esperamos sinceramente que, si compras el libro, se transmita el mimo que le hemos puesto para cubrir los principales aspectos de seguridad en las arquitecturas SharePoint tanto si lo tienes en producción, lo tienes que montar como si lo tienes que atacar.

Saludos Malingos!

PD: En las últimas páginas del libro encontraréis la lista de los próximos libros en publicación, que irán saliendo muy prontito. }:D

Cómo enFocar un ataque de malware dirigido

En la Defcon 18, Charlie Miller dio una charla sobre cómo podría realizar un ataque cibernético a gran escala contra los Estados Unidos para controlar los sistemas si se lo pidiera Korea del Norte [Diapositivas]. Esta charla concluía con la toma de los USA en un par de añitos. Además, recientemente ha salido a la luz pública que el peor ataque contra los USA fue realizado al Pentágono a través de un malware dirigido insertado en un pendrive.

¿Sería muy complicado para un atacante realizar este tipo de ataques? Pues si no se han tomado las medidas permitentes de fortificación de la política de seguridad y del sistema informático en sí, no es tan complejo. En este artículo vamos a utilizar la FOCA para elegir los objetivos de un caso simulado en el que quisiéramos crear un malware dirigido (que no es el caso).

Arquitectura del ataque

El objetivo del ataque es darle un pendrive con un malware a un usuario que esperamos que alegremente pinche en su ordenador. La idea es que este usuario tenga un sistema operativo que esté probablemente menos protegido contra los autoruns en pendrives o que tenga un sistema con una debilidad conocida. Además, es interesante que este usuario tenga acceso a servidores donde se pueda copiar un malware genérico que infecte al resto de usuarios. Por supuesto, cuanta más información se tenga de los equipos y la política, mejor se podrá preparar el malware y para eso también ayuda FOCA.


Figura 1: Esquema de la arquitectura del ataque

Recogida de información con FOCA

Como vamos a utilizar la FOCA, lo primero que vamos a realizar es descargar todos los documentos ofimáticos y extraer los metadatos. Para este ejemplo, se ha utilizado un dominio real pero voy a guardarme el nombre del mismo (y espero que no se me escape ningún dato en las imágenes). Como se puede ver, con solo 125 documentos hay disponibles nombres de usuarios, rutas, impresoras, versiones de software y direcciones de correo electrónico. Caldo de cultivo para preparar el ataque.


Figura 2: Resumen de la información obtenida

Elección de objetivo

En este caso se va a seleccionar un usuario con un Sistema operativo Windows XP que tenga acceso a servidores para copiar el malware. Para ello, analizando los metadatos con FOCA, dibujamos un mapa de la red. Esta persona parece un buen Objetivo, ya que tiene acceso a dos servidores distintos, tenemos su nombre y apellidos, con lo que serías más fácil ubicar a esta persona. Para este ejemplo, no voy a dar más datos ni más trucos sobre como rastrear a la persona. Creo que es suficiente ilustrativo.


Figura 3: Elección del equipo de entrada

Además, los servidores parecen bastante interesantes, pues se sabe que acceden a ellos muchos usuarios y se comparten bastantes carpetas, por lo que hay muchos sitios donde copiarse sin hacer demasiado ruido.


Figura 4: Carpetas compartidas de los servidores donde copiar el malware

En este caso no importa si los servidores son internos, no tenemos la dirección IP o su nombre de dominio DNS. El equipo del usuario está dentro de la red y se puede conectar por NETBios, así que basta con que el usuario esté trabajando en ese equipo.

Técnicas de evasión de AV

Vale, lo último sería intentar detectar el AV que están utilizando internamente para poder crear un malware que, en el momento que se suelte, no sea detectado por heurística por el Antivirus que tengan instalado. Para ello, se puede utilizar el mismo sistema de DNS cache Snooping que soporta FOCA para averiguar a qué URLs de casas de antivirus se conectan los equipos de la red interna, igual que se hacía para saber las Updates del resto de productos en el ataque del evilgrade. Una vez que sepas el AV, pasa tu malware por Virus Total hasta que no lo detecte el AV que interesa.

Como se puede ver, la fuga de información por Metadatos puede ser muy peligrosa, así que limpia tus ficheros antes de publicarlos o protege tu servidor web con Metashield Protector.

Saludos Malignos!

martes, septiembre 07, 2010

Asegúr@IT Camp 2: Extendido el registro Reducido

Con la llegada de las vacaciones hemos recibido varios correos electrónicos de gente que quiere venir al Asegúr@IT Camp 2 pero que no le ha dato a gestionar el registro en el periodo Super reducido antes del domingo día 5, así que ayer decidimos retrasar el periodo super-reducido hasta el día 10 de Septiembre, es decir, durante toda esta semana.

Actualmente se ha superado el 50% de ocupación de las plazas, lo que garantiza que este año la diversión será, al menos, tan buena como la de este vídeo que me ha pasado un amigo para recordar la del año pasado. }XD


Así que nada, ves reservando tu plaza y nos vemos en el próximo Asegúr@IT Camp 2, que tendrá lugar los días 22, 23 y 24 de Octubre.

Saludos Malignos!

lunes, septiembre 06, 2010

Minería de datos con Maltego (3 de 3)

********************************************************************************************
- Minería de datos con Maltego (1 de 3)
- Minería de datos con Maltego (2 de 3)
- Minería de datos con Maltego (3 de 3)
Autor: Manu "The Sur"
********************************************************************************************

En casos en los que se conozca información extra que Maltego ha sido incapaz de encontrar o relacionar, podemos hacer esto manualmente. Si por ejemplo se supiera de la existencia de la cuenta ‘usuario @fbi.gov’, se puede agregar manualmente arrastrando la entidad ‘Email Address’ y, posteriormente, creando un enlace con el dominio, símplemente arrastrando desde la entidad dominio hacia la dirección de correo.


Figura 7: Añadir una entidad manualmente

Otra de las funcionalidades de Maltego es la extracción de metadatos de los documentos ofimáticos. Para ello, primero es necesaria la localización de dichos documentos mediante la transformación ‘Files and Documents from Domain -> To Files (Office)’, en este caso realizado sobre el dominio ‘usal.es’.


Figura 8: Descubrimiento de ficheros publicados

Para la extracción de metadatos, utilizar la transformación ‘Other transforms -> Parse meta information’ sobre los documentos ofimáticos, obteniendo así los datos.


Figura 9: Datos extraidos

Una vez está realizada la extracción y relación de datos, es posible visualizarla de diversas formas graficas (Mining view, Dynamic View, Edge Weighter View) o en modo texto (Entity List), seleccionando el tipo en la parte superior del gráfico.


Figura 10: Visualización de entidades

Como se ha podido ver en este artículo, Maltego es una herramienta perfecta para hacer Data Gathering usando repositorios de conocimiento gratuitos en Internet. Una herramienta perfecta para acompañar cualquier proceso de pentesting en la fase de footprinting o fingerprinting e, incluso, cuando se quiera ir a hacer un ataque dirigido en la de exploiting.

********************************************************************************************
- Minería de datos con Maltego (1 de 3)
- Minería de datos con Maltego (2 de 3)
- Minería de datos con Maltego (3 de 3)
********************************************************************************************

Eleven Paths Blog

Seguridad Apple

Entradas populares