domingo, enero 31, 2016

XII Ciclo de Conferencias TASSI de Seguridad Informática

El Dr. Jorge Ramió, co-autor del libro de Cifrado de las comunicaciones: de la cifra clásica a RSA, y mente detrás de Criptored, de donde han salido proyectos de divulgación de seguridad informática y seguridad de la información como Intypedia o el Proyecto Thoth, también lleva desde hace años organizando un ciclo de conferencias en la Escuela Técnica Superior de Ingeniería de Sistemas Informáticos ETSISI, del Campus Sur de la Universidad Politécnica de Madrid, llamado TASSI (Temas Avanzados en Seguridad y Sociedad de la Información). Este ciclo, además de ser para los alumnos de la escuela, es de libre acceso, así que cualquiera puede aproximarse y disfrutar de las charlas.

Figura 1: XII Ciclo de Conferencias TASSI de Seguridad Informática

En esta ocasión, el ciclo está compuesto de 7 conferencias que comenzarán a impartirse a partir de próximo 11 de Febrero de este año en Madrid. El programa, que está disponible de forma detallada en la web del ciclo de conferencias XII TASSI, es el siguiente:
Jueves 11 de febrero de 2016
Conferencia 1: El Malware en Dispositivos MóvilesPonente: D. Juan Antonio Calles (KPMG Asesores - Flu Project)
 
Jueves 18 de febrero de 2016
Conferencia 2: Montando un Escenario de Hacking IPv6 por 2 €Ponente: D. Rafael Sánchez (Eleven Paths)
 
Jueves 25 de febrero de 2016
Conferencia 3: Hardware Hacking Aplicado a la Seguridad: Arduino y RoutersPonentes: D. David Meléndez y D. Óscar Tébar (Albalá Ingenieros e Innotec)
 
Jueves 3 de marzo de 2016
Conferencia 4: Técnicas de Evasión de Antimalware y Canales Encubiertos
Ponentes: D. Pedro Sánchez (Conexión Inversa)
 
Jueves 10 de marzo de 2016
Conferencia 5: Fast & Furious Incidente Response con PowerShell
Ponente: D. Juan Garrido (Innotec System)
 
Jueves 17 de marzo de 2016
Conferencia 6: Jugando con SDRs - Gasta Poco - Escucha Mucho
Ponente: D. Carlos García (Autónomo)
 
Jueves 7 de abril de 2016
Conferencia 7: De la Mano: Transformación Digital y Seguridad TIC
Ponentes: D. Luis Miguel Rosa (CIONET)
Cómo podéis ver, hay charlas dedicadas al malware, a las técnicas de análisis forense, al Software Defined Radio, a las técnicas de hacking IPv6 de mano de nuestro compañero Rafa de Eleven Paths o al hardware hacking. Una oferta interesante para estar al día en la tecnología, desde luego.

Figura 2: Todos los jueves de 11:00 a 13:00 en la Sala de Grados

Además de esto, en la Universidad Carlos III va a tener lugar también un ciclo de conferencias y cursos este año, donde nuestro compañero Fran va a impartir un taller de Sinfonier para explicar cómo hacer topologías de ciberseguridad, que podrías utilizar para conseguir llevarte uno de los premios de 3.000 USD del Sinfonier Community Contest.

Figura 3: Taller de Sinfonier Project en Leganés

Con estas actualizaciones, la agenda del mes de Febrero para Seguridad Informática queda mucho más completa de lo que os anuncié inicialmente, así que he actualizado el post con la lista de los eventos, conferencias y cursos de seguridad informática & hacking para Febrero del 2016 en los que puedes participar.

Saludos Malignos!

sábado, enero 30, 2016

Tenemos 14.000 USD en BitCoins, un iPad Air 2 y libros de 0xWord en premios por tus proyectos de seguridad

Como ya sabéis, tenemos abierto el Latch Plugin Contest 2015 y el Sinfonier Community Contest hasta el próximo día 15 de Febrero de 2016. Para los ganadores tenemos un total de 14.000 USD en premios que daremos en BitCoins. Una nada desdeñable cantidad de dinero por un hack que hagas con Latch o Sinfonier.

Figura 1: 14.000 USD en BitCoins, un iPad Air 2 y libros de 0xWord de premios

Lo bueno de este concurso es puedes participar con tus proyectos de fin de carrera, con tus proyectos de fin de master, con tus hacks de casa, con implementaciones que te sirvan para tu trabajo, etcétera. Cualquier buena idea que hagas será bienvenida.

Latch Plugin Contest 2015

Con Latch puedes integrarlo en el mundo del IoT - no solo para proteger la hucha - o en el mundo de la fortificación de sistemas, como hacía nuestro compañero Pablo González hace poco con una implementación de sistemas de Port-Knocking protegido con Latch, tal y como puedes ver en el siguiente vídeo.

Figura 2: Vídeo demostrativo del funcionamiento de Latch & Port-Knocking

Buscamos originalidad, calidad en el código, impacto en la comunidad, etcétera, y seguro que puedes aportar grandes ideas.

Figura 3: Latch Plugins Contest 2015

Además, si estás buscando trabajo, todo lo que aprendas haciendo el proyecto, además del resultado final, te servirá de buena carta de presentación - sobre todo si nos envías el CV para trabajar con nosotros -.

Sinfonier Community Contest y Hackathon en Granada

En este caso, hasta el 15 de Febrero de 2016 puedes participar también en el Sinfonier Community Contest, donde se darán dos premios de 3.000 USD a la mejor Topología de seguridad, y al mejor Bolt implementado para el proyecto.

Figura 4: Sinfonier Community Contest'15

Tienes información sobre el proyecto Sinfonier en la Comunidad de Eleven Paths. Puedes hacer cosas tan curiosas como el análisis de las redes WiFi inseguras de México, tal y como se ve en este vídeo.


Figura 5: Visualización del resultado de un Topología de Sinfonier

Si no te ves con conocimientos suficientes para participar en esta prueba de Sinfonier, puedes venirte el próximo 15 y 16 de Febrero al Hackathon que se realizará en la ETSII de Granada donde podéis participar también en la prueba para ganar un iPad Air 2 y 4 libros de 0xWord que se van a entregar allí.

Figura 6: Hackathon Sinfonier ETSII UGR

No hay mejor forma para aprender que haciendo cosas. No hay mejor carta de presentación para un trabajo que un proyecto tuyo que puedas enseñar. No hay mejor regalo que el camino de aprender. Tienes dos semanas que puedes utilizar para participar en cualquiera de estas tres pruebas. ¡Ánimo!

Saludos Malignos!

viernes, enero 29, 2016

The Shadow: Controlar el "Shadow IT" y el "Shadow IoT"

Ayer, durante el día de la privacidad de datos, aprovechamos para presentar un whitepaper sobre una reflexión que hemos hecho entre varias empresas y organismos sobre los riesgos que puede acarrear la creciente adopción de las tecnologías IoT. Ni mucho menos el documento pretende ser alarmista ni contrario al mundo del IoT, del que todos coincidimos que va a permitirnos transformar la sociedad donde vivimos, sino para hacer conscientes a personas y empresas de que hay que empezar a trabajar ya en la seguridad de IoT sin cometer los errores del pasado en el mundo IT.

Figura 1: The Shadow - Controlar el "Shadow IT" y el "Shadow IoT"

Pensar que la cantidad de dispositivos hardware que se han creado, y se van a crear, se van a hacer si ningún fallo de seguridad en su diseño es algo que ya sabemos que no va a pasar. La historia nos ha enseñado que tenemos que contar con ello. Pensar que las soluciones que se creen utilizando esos dispositivos no van a contar con ningún problema de seguridad es algo que ya sabemos que no va a suceder. Pensar que la utilización que le van a dar los usurarios a estas plataformas no va a generar ningún problema, es algo que sabemos que no va a ser así.

Hemos visto contraseñas hardcodeadas en dispositivos, hemos visto aplicaciones con bugs en las implementaciones de los programas y vemos a usuarios capaces de publicar fotos de sus tarjetas de crédito en Internet solo porque es cool, y en el mundo IoT aún no somos conscientes de a dónde van a llegar los riesgos a los que nos enfrentamos debido a la escala de conectividad a la que nos enfrentamos y a la cantidad de ámbitos a los que se van a aplicar las soluciones Internet of Things.
Llamarle IoT es quedarse, de partida, cortos con el término, ya que al final a lo que nos referimos es al famoso IoE (Internet of Everything) donde cualquier objeto va a tener una vida conectada a Internet. Desde sistemas industriales a humanos conectados para gestionar su salud, pasando por los elementos domóticos de un hogar o los medios de transporte de una ciudad. Todo objeto es susceptible de tener una conexión a la red para ser mucho más inteligente en su vida útil. Un vaso que puede avisar al camarero cuando el vino se calienta más de lo debido o una cocina sin nevera que trae los alimentos en drones cuando se va a cocinar.
También una impresora que compra el toner y el papel, un vídeo proyector que avisa a mantenimiento cuando falla la bombilla o un sistema de destrucción de documentos conectado que llama al reciclado de papel cuando el depósito está lleno. Cafeteras, máquinas de dispensación de dulces en la empresa o los papeles de publicidad corporativa que se usen en las oficinas. Tal escala abre la posibilidad a un montón de riesgos en la vida de las personas, pero también en las empresas y organizaciones, y por tanto hay que estar preparados para los riesgos que puedan suponer para la seguridad de la compañía.

Shadow IT

En el mundo de la empresa cada vez los empleados hacen más uso de lo que llamamos Shadow IT, o lo que es lo mismo, de su propia infraestructura IT para hacer su trabajo. Del BYOD donde los usuarios tienen su propio dispositivo móvil, hemos pasado al BYOIT (Bring Your Own IT), donde ya no solo traen su propio smartphone, sino que además traen sus propias cuentas de servicios de vídeo-conferencia, correo electrónico, transmisión de ficheros, conexión a Internet por medio de sistemas de tethering para evadir los controles de firewalls o proxy, sus propios sistemas de almacenamiento de documentos - que pueden crear hidden links en las redes - , tienen sus propios sitios webs e incluso sus propios servidores en la nube, que a veces usan para hacer sus propias webs de recursos, documentos o pruebas.

Figura 4: Reporte de activos descubiertos por Faast en la plataforma Vamps

Los administradores de IT y los responsables de seguridad se las ven y se las desean para controlar la cantidad de tecnologías que se meten en sus redes, que circulan por sus oficinas o que conectan sus sistemas informáticos con sistemas informáticos remotos en Internet. Hoy en día, un informe de vital importancia para una empresa puede estar en los adjuntos del correo electrónico personal de Gmail de un administrativo porque se lo envió a su casa para poder trabajar con él, y esa cuenta de Gmail es la misma que utiliza en su Android para bajarle apps a su hijo en el smartphone de su casa.  Los equipos de administración IT y seguridad en las empresas cada vez tienen menos control del IT que usan sus empleados. Y ese Shadow IT crece y crece cada día.

Figura 5: Seguimiento de activos en Vamps

Hoy en día, los sistemas de búsqueda de vulnerabilidades en la empresa, no solo ayudan a encontrar los bugs, sino también a descubrir el Shadow IT que ha podido crecer dentro de la organización. Con Vamps & Faast, los sistemas de gestión de vulnerabilidades y pentesting persistente que creamos en Eleven Paths, intentamos generar alertas con los nuevos activos que se descubren escaneo tras escaneo, lo que le permite conocer a un administrador si una nueva web o un nuevo servidor ha aparecido dentro de la red sin que el lo sepa. Es decir, sacamos provecho de los módulos de autodiscovery que usamos en las tecnologías de pentesting persistente para localizar y controlar el Shadow IT, independientemente de que luego se busquen vulnerabilidades en ellos.

Shadow IoT

Si el número de activos que aparecen en el mundo IT dentro de la empresa es grande, hay un subconjunto muy peculiar, que son los dispositivos IoT. A veces son dispositivos plug&play que se autoconfiguran, o sistemas autónomos con conexión que se conectan a una red y hacen todo el trabajo ellos. Pueden ser impresoras, termostatos, vídeo proyectores, teléfonos VoIP, sistemas de backup, relojes inteligentes, controles de puertas, sistemas de automatismo de persianas, reproductores de música en streaming, etcétera, etcétera. De todo hemos podido ver en el mundo de la empresa.

Figura 6: Vídeo proyector conectado a la red de la empresa publicado en Internet

Todos estos dispositivos, conectados, configurados y manipulados muchas veces por empleados con mayor o menor conocimiento técnico, se convierten en un punto importante del Shadow IT, es lo que nosotros llamados el Shadow IoT, y las herramientas tradicionales de escaneo de vulnerabilidades no los buscan en sus sistemas de discovery y escaneo de vulnerabilidades. Debido a esto, en Eleven Paths hemos estado trabajando en adaptar los sistemas de autodiscovery de Faast, nuestra plataforma de pentesting persistente, para localizar el IoT en las empresas que auditamos de forma continua. 

Figura 7: Módulos de IoT en Faast para detectar el Shadow IoT

No solo los módulos de autodiscovery de activos, sino también los plugins de búsqueda de vulnerabilidades, donde hemos ampliado la knowledge base de vulnerabilidades para centrarnos en todos esos pequeños sistemas que pueden abrir un gran fallo de seguridad en una organización. Un sistema de control de CCTV conectado a la red de la empresa con un bug conocido, sensores de control de barrera del parking con contraseñas por defecto o impresoras con gestión desde Internet que están automatizadas pueden suponer una brecha de seguridad importante, por lo que hay que crear una gran cantidad sistemas de detección que los busquen de forma automática.

Figura 8: Atacando una servidor en la DMZ desde una impresora conectada a Internet

En el próximo Mobile World Congress en Barcelona, en el stand de Telefónica, vamos a presentar nuestra evolución de Vamps & Faast hacia el mundo del IoT, para tener un sistema de Pentesting Persistente y Gestión de Vulnerabilidades capaz de descubrir los nuevos dispositivos conectados y los bugs en ellos. Todo, con el objetivo de que se pueda controlar el Shadow IT y el Shadow IoT un poco mejor dentro de la empresa.

Saludos Malignos! 

jueves, enero 28, 2016

Cómo proteger tu password cuando esté en memoria RAM

Desde hace un par de semanas estamos jugando con las técnicas de análisis forense y pentesting que tienen que ver con la memoria RAM y los trucos que rodean a este elemento volátil. En los artículos anteriores hemos visto “Cómo sacar la contraseña de Gmail de la memoria del proceso de Firefox usando Metasploit” o “Cómo volcar credenciales del proceso KeePass con Meterpreter”, lo que podría dar a un atacante datos jugosos o indicios que nos ayuden en una auditoría de seguridad. Puede que para muchos esto sea algo normal, pero lo cierto es que los sistemas aún podrían haber estado diseñados de forma mucho más robusta para garantizar la protección de la memoria contra este tipo de ataques, así que hemos hecho una prueba en Eleven Paths para mostraros "Cómo proteger tu password cuando esté en memoria RAM".

Figura 1: Cómo proteger tu password cuando esté en memoria RAM

Para hacer esta prueba vamos a hacer uso de los SecureString. Según indica Microsoft en su MSDN Library, el SecureString es un objeto similar al String - es decir, para almacenar cadenas de texto, pero que se almacena en memoria RAM con un mecanismo de cifrado ofrecido por el propio sistema operativo. Este tipo de objetos que protegen en el contenido en la memoria RAM por medio de cifrado se crearon en los sistemas operativos y lenguajes de programación para que la información sensible como contraseñas o datos personales, utilicen SecureString, mientras que el resto de información podría ser almacenada, sin más, en Strings.

Figura 2: ¿Cómo de seguros son los SecureString en .NET?

Hay que tener en cuenta que la memoria RAM de un proceso puede ser accesible no solo por medio de Metasploit como hemos visto en los casos anteriores, sino que un volcado de memoria producido por un fallo en el sistema operativo - como cuando se produce un BSOD - puede hacer que todos los datos que haya en la RAM terminen en un fichero de texto donde puede quedar toda la información expuesta. En el ejemplo que poníamos de Firefox, lo que quedaba no era directamente la contraseña, pero sí el usuario y la contraseña introducida por el usuario, que probablemente, si es un error de mecanografía, puede llevar a la password.

Un proceso con SecureString y otro con String

Para esta prueba de concepto se ha utilizado un código .NET escrito en C#, que permite ejemplificar dos situaciones: En la primera situación el programa utiliza SecureString para gestionar su clave en memoria RAM. La clave no se imprime por pantalla y si buscamos la información de la contraseña en RAM utilizando Metasploit no debemos encontrar nada. En la segunda situación el usuario gestiona su clave en un tipo de datos String. Cómo ya hemos visto en anteriores artículos, la información será mostrada cuando se haga un dump de memoria.

Figura 3: Funciones de protección de Strings con SecureString

El trozo de código anterior muestra dos funciones, una que permite convertir un String a SecureString y la otra realiza el proceso inverso. Una correcta gestión de los SecureString puede ayudarnos a solventar problemas de data leaks a través de información en la RAM.

Para realizar el volcado de memoria RAM del proceso .NET utilizado, en este caso el que solo gestiona la información con SecureString, se utiliza el script de Meterpreter llamado proc_memdump para obtener el volcado remoto.

Figura 4: Volcado de memoria de un proceso protegido con SecureString

Cómo puede verse en la imagen, si buscamos cadenas como “System.Security” se encuentra Password: System.Security.SecureString.  En el caso de que se utilizará un String ya tendríamos el leak y el valor de la contraseña como veremos en la siguiente prueba, pero con esta configuración, nada de nada.

Figura 5: La cadena de la contraseña está protegida por SecureString

Conociendo la contraseña que hemos almacenado con SecureString realizamos una búsqueda sobre el volcado de memoria a ver si está en algún lugar almacenada la cadena de la password en texto plano. El resultado es el que se puede ver en la imagen, nada. No encontramos información sobre la contraseña en el volcado, se está gestionando de forma correcta y segura.

Figura 6: La cadena de la contraseña no está en volcado de memoria

Ahora vamos a ejecutar el proceso nuevamente pero haciendo que la contraseña se gestione a través de un String, algo muy común. Tal y como se puede ver en la imagen se ejecuta process_memdump y se obtiene el volcado en crudo del proceso.

Figura 7: Si no está protegida, la contraseña está accesible en el volcado

Realizando la búsqueda sobre la captura de la palabra “Pass” podemos encontrar la contraseña en texto plano en la memoria RAM. Esta información ha sido mostrada por pantalla, por lo que se está almacenando de manera insegura en la memoria del proceso. En el siguiente vídeo se puede ver la demostración completa.

Figura 8: Vídeo demostrativo de SecureString

Cómo conclusión decir que una correcta gestión del uso de Strings sensibles y unas buenas pautas a la hora de programar nos ayudan a hacer nuestro desarrollo más seguro y que la fortificación de la aplicación sea mayor en cualquier entorno. En este ejemplo se ha visto con una aplicación en .NET, pero en otros lenguajes existen otras soluciones. En Java, por ejemplo, el tipo de datos para hacer algo similar a esto se llama GuardedString, y dependiendo de la plataforma de desarrollo que uses puedes buscar soluciones similares.

Figura 9: GuardedString en Java

Este tipo de protecciones, por supuesto, no son 100% seguras, pero si se accede al volcado de memoria sin poder utilizar las funciones criptográficas del sistema operativo con las claves de descifrado, obtener las cadenas protegidas es un trabajo de fuerza bruta.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking" y “Pentesting con Powershell

miércoles, enero 27, 2016

A Gmail se le indexan 25.000 URLs en Google... de nuevo

Hace un par de años estuve jugando con las opciones de indexación de Google y Bing, así como analizando cómo se podrían evitar fugas de información (data leaks) por errores humanos que terminaban indexadas en las bases de datos o índices de los buscadores. Jugué con Facebook, WhatsApp o Dropbox. La conclusión de todo aquello fueron un par de charlas que impartí en Barcelona, en Lleida y en las Navajas Negras de 2014  con el título de "No me indexes que me cacheo" y la publicación de una herramienta en Eleven Paths llamada Google Index Retriever. Creo que esa charla es la única que no está grabada en vídeo, pero todo el trabajo también está incluido en el libro de "Hacking con Buscadores".

Figura 1: A Gmail se le indexan 25.000 URLs en Google... de nuevo

Una de las cosas que estuve mirando era qué información se queda en los índices de los buscadores por culpa de fallos humanos y falta de fortificación de los servidores web frente a las arañas de búsqueda. La lógica detrás de esta afirmación es bastante sencilla en la cabeza de una persona que trabaja en la fortificación de sistemas informáticos: Si podemos poner una medida que evita el fallo humano y no afecta al negocio, se debe poner. Os lo voy a explicar de otra manera.

¿Tiene sentido que Google indexe URLs a correos privados de Gmail?

La pregunta de este apartado es la que debemos respondernos antes de seguir el proceso. ¿Sirve para algo que se indexe la URL de uno de mis correos privados? La respuesta es No. Una URL a un correo de Gmail solo es accesible para el dueño de la cuenta, así que de nada sirve que la URL esté indexada en el buscador. 

Figura 2: Buscando por URLs de Gmail salen miles cuando se muestran los resultados omitidos

Cualquier que busque en Google y pueda dar con ella, nunca tendrá la posibilidad de acceder al contenido de la URL si no tiene la cuenta. De hecho, no podrá acceder al contenido del documento tampoco en el índice porque el equipo de Gmail configuró un robots.txt para que no analice el contenido ni, por supuesto, lo meta en la caché.
Figura 3: Robots.txt en Gmail para que no se indexe nada
Eso impide que en la base de datos del índice no se guarde información resumida de la página porque no se va a analizar, ni que en las bases de datos de caché se guarden copias de la misma. 

¿Es esta configuración suficiente para evitar Data Leaks?

La respuesta es No. Si un enlace a un correo electrónico de Gmail es descubierto por una araña del buscador de Google, este enlace será analizado, incluido en el índice de Google y tendrá información que puede ser útil para un atacante. Esta información podría ser la cadena con la que se creó el enlace a ese correo o el nombre de los parámetros, donde a veces van números de teléfono, direcciones de e-mail de contacto o nombre de ficheros adjuntos.

Figura 4: Leaks de información de Gmail indexados en Google

Nunca quedará indexado o cacheado el contenido en la base de datos del índice ni en las copias de caché, pero sí quedará la información citada en base de datos del índice de Google, algo que se puede evitar. A día de hoy, Google tiene indexadas 25.000 URLs de Gmail.

¿Cómo puede llegar Google a encontrar ese enlace de Gmail?

La respuesta a esta pregunta es sencilla: Por un error en algún punto. Supongamos que una persona tiene un documento en Evernote con enlaces a algunos de los correos más importantes de Gmail y, por un error suyo al configurar Evernote, o por un fallo de Evernote - que puede pasar - ese documento queda público durante un instante de tiempo. Eso provocaría que la araña encontrara los enlaces y quedara la información en la base de datos.

Figura 5: Una mala configuración de indexación puede llevar al leak de los previews de WordPress

Pero no solo eso, pueden ser cosas más sencillas como que un usuario se equivoque al copiar y pegar, como que tenga un documento de Word con los enlaces en Dropbox y lo comparta mal, etcétera. Siempre, errores que pueden provocar el leak de información.

¿Es culpa de Google que se filtre esa información en los resultados?

No, no es culpa de Google. Las URLs estaban en documentos que ha podido indexar porque no estaban protegidos por un robots.txt, así que la araña hace su trabajo.

Figura 6: Respuesta del equipo de seguridad de Google ante esta indexación

De hecho, cuando notifiqué esto a Google ellos respondieron lo que podéis leer ahí. Que ellos no hacen ajustes manuales de resultados. Al final, el dueño de las URLs es Gmail, no Google, por lo que es Gmail quién debe decidir si quiere que aparezcan o no.

¿Es culpa de Gmail que el usuario publique esa URL en el índice de Google?

No, no es culpa de Gmail - a priori - que un usuario cometa un error, tenga un descuido o que el sitio en el que el usuario confiaba tuviera un error que permitiera el indexado temporalmente.

¿Puede hacer algo más Gmail por la privacidad del usuario?

La respuesta es . Y esta es la clave de todo. Si ya hemos dicho al principio que la indexación de una URL que apunta a un correo privado de Gmail no tiene sentido porque solo se puede acceder a ella con la cuenta del usuario, Gmail podría ser robusto con la privacidad del usuario con solo añadir la etiqueta HTML Meta NoIndex o con añadir al servidor de Gmail un X-Robots-Tag NoIndex.
Esto haría que si el fichero es encontrado siguiendo una URL pública, ni el título del enlace, ni la URL, quedarían indexados en la base de datos de Google. Algo que beneficiaría a la privacidad y seguridad personal del usuario de Gmail.

¿Y si ya están indexadas?

Gmail llegó a tener más de 79.000 URLs indexadas en Gmail y más de 120.000 indexadas en Bing. Poco a poco las fue eliminando y desaparecieron. Esto lo puede hacer una empresa con las Herramientas del Webmaster en Google y Bing, si ya se ha producido el leak.

Figura 8: 25.500 URLs de Gmail indexadas en Google

Ahora Gmail tiene 25.500 URLs indexadas con títulos, parámetros con direcciones de e-mail, teléfonos y nombres de ficheros adjuntos. No es culpa suya, pero sí que podía estar mejor configurado para ayudar a la seguridad del usuario. ¿Hará algo?

Saludos Malignos!

martes, enero 26, 2016

Antes de que cuente 10. Hoy El lado del mal hace 10 años

Todo acaba llegando. Lo bueno, y lo malo. El final de lo malo, el final de lo bueno. El tiempo lo acaba limpiando todo con una implacable tabla rasa que da vértigo solo de imaginar. Esto también pasará, decía un tatuaje que ya no recuerdo. Cuando era un niño siempre veía el año 2.000 como un futuro inimaginable en el que los coches volarían y los robots pasearían con nosotros por las ciudades. Pero un día llegó, y la vida continuó como si nada hubiera pasado. Reyes, mendigos, héroes y villanos nos igualamos todos ante el paso firme del reloj de arena que va derramando grano a grano el lienzo sobre el que se puntean las cosas que vivimos. El tiempo.

Figura 1: Hoy "Un informático en el lado del mal" cumple 10 años

Cumplir diez años en un blog es solo cuestión de tiempo. Exactamente de diez ciclos completos alrededor del sol. De diez primaveras, de diez veranos, de diez otoños y de sus consiguientes diez inviernos. Eso es exactamente lo que ha pasado desde el veintiséis de Enero del año 2006, día que decidí abrir "Un informático en el lado del mal". Solo han pasado días y horas en el reloj del tiempo, pero en mi interior y en el mundo exterior que me rodea han pasado muchas más cosas.

Las urgencias y batallas de años atrás han dejado paso a angustias y penas nuevas, salpicadas de grandes alegrías y satisfacciones. Momentos felices y divertidos llenos de encuentros nuevos retorcidos de despedidas dolorosas, pérdidas y tristezas endiabladas que se enraízan en el alma. Vivir, al fin y al cabo, una década sobre esta tierra que hemos heredado temporalmente y que un día deberemos ceder - lo mejor que esté en nuestras manos - a los que vendrán.

Llevo tiempo echando la vista atrás para ver con el ojo de la distancia quién era yo hace diez años y quién soy hoy en día. Con dificultad reconozco mis patrones, mis dejes, mis virtudes y mis defectos cuando miro a cómo era en 2006. Mucho más complejo es todo si miro a ver cómo era yo en el año 1999 cuando me embarqué en la agitada odisea de levantar Informática 64. Ni que decir tiene que volver a los años de infancia cuando miraba con cara de asombro TRON, Juegos de Guerra o Hackers en la pantalla es aún más extraño. Son recuerdos vívidos de un mundo que parece que nunca llegó a existir más allá de mi ensoñación. Como el recién despertado de un intenso sueño, me cuesta creer que viviera de verdad lo que he vivido en los dos últimos años, cuan más difícil de imaginar más larga distancia atrás.

Ciñéndome solo a la última década de mi vida, al año 2006 y venideros, los cambios en mi existir han sido muchos y divertidos. Aún no llevaba el gorro en las conferencias. No sería hasta el 22 de Octubre de 2006, con el lanzamiento de Windows Vista, cuando por primera vez, en un alarde de imaginación para tapar el escaqueo a la hora de hacer las diapositivas, decidí participar en un teatrillo sobre el escenario con mi gorro. Aún no había dado mi primera charla en ninguna conferencia fuera de España y debería aún salir a vivir fuera de mi patria. Aún estaba pensando en regresar a la universidad a terminar la Ingeniería Superior de Informática y ni tan siquiera había creado a Josemaricariño y los No Lusers que no vendrían a mi universo personal hasta el año 2007.

En diez años el tiempo te da espacio para equivocarte tantas veces que parece mentira que solo sean unos miles de días, pero también te da oportunidad a levantarte cientos de veces, a aprender lo que una vida requiere para sobrevivir o a dirigir tu ser hacia rincones más allá de los límites de tu realidad.

Cuando abrí este blog no lo hice para que perdurara. No lo hice para que fuera una piedra angular en mi existencia. No lo hice con ningún motivo en mente más que para que fuera un lugar donde guardar lo que iba aprendiendo. Mi bitácora personal, que así se definían en el año 2006. Le puse unas calaveras en el contador y empecé a escribir de lo que me gustaba, lo que aprendía, lo que descubría y, fundamentalmente, de lo que vivía. Vivir para escribir. Escribir para vivir.

Poco a poco el blog comenzó a traerme amigos, enemigos y la mezcla de ambos, los "enamigos". Y creció más allá de mí. Más de lo que nunca hubiera imaginado que ocurriría. Se convirtió en lo que soy y en dónde estoy. En lo que en esencia vivo, amo y repudio. En mi psicólogo, en lo que me conecta conmigo mismo, en lo que me conecta contigo y en mi forma de decirte algo al oído sin saber tan siquiera si lo escuchas o no.

Han pasado diez años y sigo pensando en qué voy a postear mañana. En qué voy a contarte. En cómo voy a engatusarte. En cómo voy a decirte una mentira que te haga ser un poco más feliz o en cómo sorprenderte con un regalo o un baño de agua fría para que espabiles. Es mi sitio para gritar sin usar la voz, es mi lugar para llorar sin que veas mis lágrimas y la partitura que toca la música que calma mi alma sin que suene la melodía. Es un lugar en el que las palabras siempre dicen más de lo que muestran y menos de lo que deberían ocultar. Un lugar en el que los mensajes llegan en diferido, pero llegan. Una sala de emergencia de hospital para curar las heridas que deja el rebotar por el mundo.

Este blog es un lugar en el que puedo cerrar los ojos, mover los dedos sobre el teclado del ordenador e imaginarte detrás de tu pantalla tomándote tu café de mañana mientras lees estas líneas, o sentada en la habitación del ordenador leyendo este post mientras acaricias a tus mascotas con cara de sueño o nostalgia, o en el Metro yendo al trabajo mientras repasas los RSS de tus blogs desde el smartphone. O entrando a la hora de la comida, de forma furtiva, para ver qué ha dicho Chema hoy. Me conecta contigo, me conecta con el mundo. Cuando escribo algo pienso que ya te lo he dicho. Que ya se lo he dicho a todos. Ya está. No hay secretos. Te imagino en la buhardilla de tu casa leyendo mientras contestas el correo electrónico o atiendes una llamada. Sé que estás ahí.

Hay momentos en los que cumplir la autoimpuesta condena de escribir todos los días no sé si ha sido un dolor o un placer, pero en ambas caras de la misma moneda se encuentra la satisfacción. He pensado en cerrarlo, he pensado en traspasarlo, he pensado en quemarlo, he pensado en seguir con él. He pensado. Y he vuelto a pensar. Y cuando pienso me acuerdo de algo que no te he contado aún. Un secreto que no te he dicho, una aventura que no te he narrado, una historia que no me he inventado aún o un sentimiento que no he vivido. Y he pensado en contártelo. He pensado que te tal vez te gustaría leerlo. Que tal vez, aunque sea en la distancia y en el silencio, te traería un buen recuerdo, te provocaría un pensamiento o te haría sentir un poco lo que yo siento. Que te haría enamorarte un poco de mí u odiarme un poco más.

Un blog solo trae palabras unidas con hilo fino o lana gorda para formar textos que cuentan cosas. A veces son cosas bonitas, otras son solo eso, cosas. Y en diez años me ha dado tiempo a coser muchas palabras y a contar muchas cosas. Demasiadas cosas. Demasiado pocas cosas. Depende de cómo lo enfoque. Depende de si estoy delante o detrás del espejo cuando lo miro. Es solo un blog. Solo uno más. Solo que éste es el mío y si he conseguido engatusarte en estos diez años alguna vez, y he logrado que te leas este texto de hoy hasta la última línea, ¿por qué no iba volver a enamorarte alguna vez a lo largo de los próximos diez años con zalamerías de bits y bytes?


Figura 2: Antes de que cuente 10

Gracias por estar ahí. Gracias por haber estado ahí. Y a ti, que has sufrido alguna vez esperas a mi lado para que acabase de contarle cosas a mi blog, te dedico esta canción que representa lo que siento hoy en día, con las canas venidas a mis sienes y los años cumplidos, uno tras otro, hasta formar una buena colección de experiencias. Al final, lo que nos llevará al final serán los pasos que demos, no el camino.

Saludos Malignos!

lunes, enero 25, 2016

Seguridad Informática en Febrero : Calendario de conferencias, cursos y eventos

Estamos en la última semana del mes de Enero, y aún quedan pendientes algunas actividades que ya os dejé publicadas en el anterior resumen, incluyendo mi viaje hoy a Londres. Hoy os traigo todos los eventos, cursos y conferencias en los que participo yo, Eleven Paths, Telefónica, o 0xWord de alguna forma u otra, por si alguno os va bien y os motiva lo suficiente como para apuntaros.

Figura 1: Calendario de Eventos, cursos y conferencias en Febrero de 2016

Os los pongo por orden cronológico y os incido si participo yo en el evento, el lugar donde se realiza y si es gratuito o no, para que tengáis la máxima información posible.

01 de Febrero [Online] Curso Online de Auditoría de Dispositivos Móviles
Este es un curso que dura seis semanas, que se imparte online, y en el que los asistentes reciben como documentación el libro de Hacking iOS: iPhone & iPad en el que yo participo en varios capítulos. Tienes toda la información en la web del curso: Curso Online de Auditoría de Dispositivos Móviles.
02 de Febrero [Madrid] Big Data Security WorkShop de ENISA
A través del grupo de Big Data Security de ENISA se celebra en Madrid, concretamente en las instalaciones de Telefónica, un seminario dedicado a Big Data & Seguridad. Yo participaré con una charla en la que hablaré de cosas que ya sabéis, como por ejemplo del Big Data y la Privacidad o de cómo utilizamos las tecnologías de Big Data para construir nuestras soluciones de Ciberseguridad. Tienes más información en la web del WorkShop: Big Data Security ENISA Madrid.
04 de Febrero [Madrid] Data Science
Este 4 de Febrero se cumple el segundo aniversario de este MeetUp creado en torno al análisis científico de datos, disciplina tan útil en las soluciones de Big Data hoy en día. En ella, nuestros compañeros de Telefónica organizarán una sesión de aniversario. Intentaremos estar también nosotros allí. Tienes más información de este MeetUp aquí: Data Science Spain 2º Aniversario
05 de Febrero [Santa Cruz de Tenerife]: III Hackron
Se consolida con esta tercera edición las conferencias Hackron en las Islas Canarias. No voy a poder asistir este año, pero sí que habrá un stand con los libros de 0xWord y un plantel excepcional de ponentes. Estarán José Picó hablando de cómo atacar redes 3G, igual que el libro de Hacking comunicaciones móviles 2G/3G/4G que escribieron, también estará Pepelux, hablando de fraude en VoIP - también nos escribió un libro de Hacking y Seguridad VoIP -, Luis Delgado, Juan Garrido "silverhack", Pedro Sánchez, Pablo Laguna, Deepak Daswani y un largo etcétera de buenos ponentes. Tienes toda la información en la web del evento: III Hackron
08 de Febrero [Online]: Curso Online de Hacking Ético
Curso online para aprender a realizar auditorías de seguridad, pentesting o hacking ético de 9 semanas de duración. No estoy de profesor, pero todos los asistentes recibirán como material del curso el libro de Pentesting con FOCA y de Metasploit para Pentesters en los que he participado como autor. Tienes más información en la web del curso: Curso Online Hacking Ético.
09 de Febrero [Madrid]: Systems Security Day 2016
Yo estaré como ponente este día en el evento Systems Security Day 2016. El evento está orientado a responsables CSO, CISO y CIO, y en el estarán caras tan reconocidas como Victorino Martín, Gianluca D'Antonio o Enrique Ávila. Tienes toda la información de la jornada en la web del evento: Systems SecurityDay 2016.
11 de Febrero [Madrid]: XII Ciclo de conferencias TASSI
Comienza el XII Ciclo de conferencias TASSI con una charla dedicada a "El malware en dispositivos móviles". La charla tiene lugar en el Campus Sur de la UPM y es de entrada libre y gratuita para todo el mundo. Más información en: El malware en dispositivos móviles.
12 de Febrero [Leganés]: Taller Sinfonier en la Universidad Carlos III
El viernes al medio día tendrá lugar un taller gratuito dedicado a Sinfonier Project, en concreto a la parte de creación de topologías de ciberseguridad y orientado a analistas - no desarrolladores - que explicará cómo sacar provecho a la plataforma sin tener que tirar ni una línea de código. Con estas topologías se podrá participar en el concurso de Sinfonier Community Contest y ganar un premio de 3.000 USD. La URL para apuntarse a este taller es la siguiente: Cómo convertí a mi abuela en una analista de ciberseguridad.
12 y 13 de Febrero: MorterueloCON [Cuenca]
Viernes y sábado para pasar el tiempo con el hacking en una CON en la ciudad de Cuenca. Con talleres y charlas, donde además podrás adquirir los libros de 0xWord. Tienes toda la agenda en la web de la conferencia: MorterueloCON
15 de Febrero [Online] Latch Plugins & Sinfonier Community
Este día es la fecha tope para entregar tus propuestas para estos concursos. Recuerda que vamos a dar 5 premios de 5.000 USD, 3.000 USD, 3.000 USD, 2.000 USD y 1.000 USD a las mejores propuestas que se entreguen. Tienes toda la información en las webs: Latch Plugins Contest & Sinfonier Community Contest.

15 de Febrero [Online]: Curso Online Python para Pentesters
Curso de 10 semanas dedicado a Python en el mundo de la auditoría de seguridad en el que se entregará el libro de Python para Pentesters que tanto éxito está teniendo. Uno de los libros que más se está vendiendo de 0xWord. Tienes toda la información en la web del curso: Curso de Python para Pentesters.
17 y 18 de Febrero [Granada] Hackathon Sinfonier 
Durante dos días tendrá lugar en la ETSIIT de la Universidad de Granada un hackathon destinado a jugar con las tecnologías Sinfonier. En él se dará una formación para aprender cómo funciona la tecnología y se premiará con un iPad Air 2 y 4 libros de 0xWord los mejores trabajos que se realicen. Apúntate y participa: Más info: Hackathon Sinfonier en UGR
18 de Febrero [Madrid]: XII Ciclo de conferencias TASSI
Segunda charla de este ciclo de conferencias que tiene lugar en el Campus Sur de la UPM. En este caso por parte de nuestro compañero Rafa de Eleven Paths que la dará centrada en los ataques de red IPv6. La entrada es libre y gratuita y tienes toda la información de la charla en la web: Montando un escenario de Hacking IPv6 por 2 €.

19 de Febrero [Alicante]: Trabajar en Ciberseguridad
Nuestro Director de CyberSecurity Products en Eleven Paths, Pedro Pablo Pérez, dará una charla en la Universidad de Alicante para explicar las oportunidades profesionales que tienen los jóvenes de entrar y trabajar en este sector. Más información en la web de la Universidad.
22 de Febrero [Barcelona]: Mobile World Congress 2016
Del 22 al 25 de este mes que viene tiene lugar, un año más, el Mobile World Congress en Barcelona. Y por tercer año consecutivo estaré allí con el equipo de Eleven Paths y los compañeros de Telefónica para presentar algunas de las cosas en las que hemos estado trabajando, especialmente nuestro sistema de Pentesting Persistente Faast adaptado al mundo IoT, además de los avances en las tecnologías de Mobile Connect. También estaré en algún panel y, según parece, habrá una pequeña charla dedicada a Cyberseguridad que daré yo. Os pasaré más información cuando la tenga totalmente detallada. Toda la información que hay disponible a día de hoy está en la web del evento: Mobile World Congress Barcelona 2016
24 de Febrero [Madrid]: Dot Net Spain Conference
Si todo acaba encajando, yo regresaré de Barcelona a tiempo para dar una sesión en la Dot Net Spain Conference 2016 que tendrá lugar en Madrid. Para ese día he pensado dar una sesión titulada "Some dirty, quick and well-known tricks to hack your bad .NET WebApps" para contarle a los desarrolladores algunas cosas básicas que se aprovechan en las auditorías de hacking de aplicaciones web hechas en .NET. Aún no está 100% confirmada, pero creo que al final podré cuadrarlo todo. Más información en la web del evento: Dot Net Spain Conference 2016.
25 de Febrero [Madrid]: XII Ciclo de conferencias TASSI
Tercera sesión del ciclo. En esta ocasión con foco en el hardware hacking jugando con Arduino y con routers. Como todas las charlas de este ciclo tendrá lugar en el Campus Sur de la UPM y el acceso es libre y gratuito. Tienes más información en la web: Hardware hacking aplicado a la seguridad: Arduino y Routers
29 de Febrero [Online]: Curso Online de Análisis Forense
Último curso online de este periodo, dedicado al análisis forense de sistemas. Tiene una duración de 10 semanas para que dé tiempo a centrarse en muchos temas. Todos los asistentes recibirán como parte del material del curso el libro de "Máxima Seguridad en Windows" de 0xWord. Tienes toda la información del curso en la web: Curso Online de Análisis Forense.
29 de Febrero [San Francisco]: RSA Conference
La última de las actividades de este mes de Febrero que tenemos planificadas es nuestra participación en la RSA Conference. Este año vamos a tener un pequeño stand allí como Eleven Paths en el que vamos a llevar algunas de nuestras tecnologías. Por supuesto, aprovecharemos para tener actividades paralelas, por lo que si vas a estar por allí puedes localizarnos. Yo iré este año por primera vez en mi vida. Más información en la web del evento: RSA Conference.
Aún hay más....: Postgrado Online en la UCLM
Además de todos estos eventos, cursos y conferencias, desde 0xWord colaboramos con el título propio de la Universidad de Castilla La Mancha (UCLM) de Especialista en Seguridad Informática y de la Información, con un enfoque eminentemente práctico. Con la matrícula podrás disfrutar de los siguientes títulos de 0xWord como material del curso: Aplicación de la LOPD, Ethical Hacking: Teoría y Práctica para la realización de un pentesting, Metasploit para pentesters, Hacking aplicaciones web: SQL Injection y Hardening a servidores GNU/Linux. Tines más información en la web del Postgrado: Especialista en Seguridad Informática y Seguridad de la Información.
Por último, durante este mes de Febrero se seguirán publicando capítulos de la WebSerie Risk Alert dedicada a mostrar algunos riesgos de seguridad en Internet y, por supuesto, intentaré seguir escribiendo por aquí todos los días.

Saludos Malignos!

Entrada destacada

Aura y su negocio oculto para conquistar el mundo

Ya estoy de regreso en Madrid , y mientras todavía continúa el eco de la presentación de Aura y la Cuarta Plataforma , he decidido tomarme ...

Entradas populares