sábado, marzo 31, 2012

No Lusers 127: Terror & Suspense




Crecí con el Boom del Vídeo-Club. En casi todas las esquinas de la ciudad había una tienda de alquiler de películas de vídeo. Fue la revolución. En una época con 2 canales de televisión donde además se terminaba a una hora con la carta de ajuste, la aparición del vídeo revolucionó nuestras vidas. Podías grabar películas y todo, y veías la misma cinta ene veces. Como la mayoría de los chicos de mi generación, tuve cierto síndrome de adicción, así que mis padres me limitaban las películas que podía alquilar a dos en fin de semana.

Pase por aquella época una adicción al cine de terror donde sangre, vísceras, terror psicológico y asesinos en serie eran mi "Justin Bieber" personal. Jason y Freddy, por supuesto eran lo más - aún recuerdo cómo  Mr. Krueger se llevaba a Johnny Deep en Pesadilla en Elm Street (últimos segundos de este vídeo) -. Pero no sólo me quedé ahí. Aullidos y sus hombres lobos, Tiburón, Jaws, Psicosis, Aquella casa al lado del cementerio, o cualquier cosa que oliera a "botes en el sofá o ketchup a tutiplén" eran mi objetivo. House (no la del doctor de la tónica), La matanza de Texas, El vengador tóxico (}:O), y alguna más de serie B gore tipo Tú madre se ha comido a mi perro cayeron en mis manos. Algunas, como Aquarius, me acojonó muchísimo - no creo que sean películas que un niño de mi edad debiera ver, pero cuando te has criado en Bronxtolex....

De esta forma pasaba horas revisando carátulas de las secciones de Terror & Suspense durante toda la semana, visitando distintos vídeo clubs en busca de la mejor mercancía de carnaza. Sin embargo, a veces la carátula me engañaba y luego la película era una auténtica basura. De entre las que forman este último grupo recuerdo Sábado 14, de la que me ha sorprendido ver que hicieron una segunda parte Sábado 14 II (Supongo que será igual de basura). Y es a todas estas películas a las que he querido dedicar este No Lusers, ya que la sensación que te habrá dejado al verlo es más o menos la misma que tuve yo con algunas de esas autenticas mi**das.

Hoy en día ya estoy recuperado de esta afición al mundo del terror - aunque a veces, delante de algún subnormal veo imágenes y oigo cosas que me dicen cosas... a las que de momento no presto atención  para dedicarme a disfrutar con fruición de su visión -

Saludos Malignos!

viernes, marzo 30, 2012

Seis mil doscientos veinte

No, no es el número de la bestia ni el secreto del universo. Ese es tan sólo el número de ejemplares vendidos que muestra la aplicación interna, que utilizamos para controlar las tiradas de los libros de Informática64. 6.220. Si hace 32 meses, cuando estaban a punto de salir los dos primeros ejemplares me hubieran dicho que se iban a vender una media de casi 200 libros al mes, hubiera pensado que me estaban tomando el pelo.


En una época en la que la documentación por Internet está por doquier, nosotros decidimos hacer una selección de temas para generar libros que pudieran leerse de forma cómoda y con un alto contenido práctico para que el que los leyese pudiera practicar lo que allí se exponía, a la vez de intentar sacarlos con unos precios lo más competitivos posibles.

Hoy, con dos nuevos libros a las puertas de ser publicados, hablar de que se han vendido 6.220 libros, nos sorprende a todos en Informática 64, así que, con este post sólo os quiero dar las gracias a todos los que habéis comprado uno de nuestros libros, ya que nos habéis animado a que sigamos.

Por supuesto, no me quiero olvidar de todos los autores que se han dejado liar en esta aventura de librería maligna que me propuse crear un día, que ahora mismo está compuesta por los siguientes títulos.
- Libro 12: Hacking Web: SQL Injection
- Libro 11: Aplicación ENS con Microsoft
- Libro 10: Hacking Móviles
- Libro 9: Máxima Seguridad en Windows
- Libro 8: Fraude Online: Abierto 24 x 7
- Libro 7: Hacking con Buscadores
- Libro 6: Una al Día, 12 años de Seguridad
- Libro 5: DNI-e: Tecnología y usos
- Libro 4: MS SharePoint 2010: Seguridad
- Libro 3: MS Forefront TMG 2010
- Libro 2: Aplicación LOPD
- Libro 1: Análisis Forense en Windows
Como curiosidad os diré que el TOP 3 de libros más vendidos hasta el momento es:
1.- Análisis Forense en Sistemas Windows
2.- Hacking con Buscadores: Google, Bing y Shodan
3.- Máxima Seguridad en Windows
Siendo el de Sergio de los Santos - mal que me cueste concedérselo públicamente.. grrr - el que más rápido se ha vendido, aunque viendo que el de Hacking de Aplicaciones Web: SQL Injection lleva ya más de 150 ejemplares vendidos en menos de 1 mes, me hace ser optimista en superarle pronto... }:))

Saludos Malignos!

PD: Sergio, no hace falta que me mandes un correo electrónico, ya te dejo aquí el número exacto de ejemplares que lleva tu libro de Máxima Seguridad en Windows: 685.

jueves, marzo 29, 2012

Spam somos y en Black SEO nos convertiremos

Curiosa información me envía el amigo del hacking de los buscadores. Enrique Rando, en su pasión por las búsquedas ha encontrado una red de generación de SEO bastante curiosa. Todos los posts que se publican en esos blogs son mezclas de palabras sin ningún sentido con el objetivo de cumplir los más estrictos objetivos de la buena calidad de los posts para que los buscadores los traten por buenos. 

Figura 1: Bonitas cosas dicen de nosotros

Todos tienen el mismo tamaño, y solo dos hipervínculos al final, apuntándose a sí mismos. 


Figura 2: Los enlaces de calidad al final

El número de blogs que están haciendo esto son bastantes, y forman una especie de anillo bastante peculiar que puede tratarse de una POC o de un ataque pensado para después vender links de calidad en campañas de SEO y jugar con los algoritmos de Google.

Lo más curioso es que Enrique Rando y yo nos hayamos visto mezclados en uno de ellos. Suponemos que será por nuestros grandes estudios en el arte del SEO, como son los artículos de Técnicas SEO para gente de moral relajada, Hacer estafas de SEO al CEO está FEO, Clientes de Black SEO o el Hot SEO de la cacha hace amigos en Facebook. Spam somos y en BlackSEO nos convertiremos.

Saludos Malignos!

miércoles, marzo 28, 2012

Cálico Electrónico se reestrena en formato HD en Tuenti

Para los más aficionados y amantes de la serie del Mayor Super Héroe Online de todos los tiempos estamos trabajando en dejar Cálico Electrónico mejor que nuevo. Para ello se están mimando todos los capítulos clásicos para renderizarlos en vídeo a 1280x720 - (Vale, sí, no es Matrovska, pero Internet da lo que da ahora para el streaming ) - y se están volviendo a montar el audio y el capítulo para dejar las temporadas originales como nuevas. Todo esto será lanzado en la página de Cálico Electrónico que se está montando en Tuenti, donde se van a ir subiendo poco a poco todos los capítulos remasterizados (¡A lo Star Wars!).


Por otro lado, ya se ha avanzado mucho en el futuro del Super Héroe bigotudo por antonomasia, y que se han cerrado los primeros sponsors para comenzar la ejecución de la cuarta temporada con garantías, lo que nos llena de orgullo y satisfacción.... Eso sí, aún necesitamos vuestro apoyo para que esto continúe hacia arriba, por lo que aún estás a tiempo de ser sponsor de algún capítulo o de la temporada completa. Para ello sólo tienes que ponernos un correo electrónico a calicoelectronico@informatica64.com y te informamos de las condiciones.

Por otro lado, también hay novedades en otros ámbitos más allá de la serie animada, en el mundo del papel para los amantes del comic. En primer lugar, Cálico Electrónico ha hecho su primera aparición en su regreso en el Comic 21, creado para ayudar a la Asociación Síndrome de Down de Granada, tal y como explica Niko en su blog.


Pero... no se va a quedar ahí... ni mucho menos, porque parece ser que Cálico Electrónico va a tener un comic muy, muy, muy especial. Os lo contaré después de Semana Santa, mientras tanto, no te olvides de comprarte tu camiseta de Cálico para que se sepa que eres de los "güenos".

Saludos Malignos!

martes, marzo 27, 2012

Shodan Total: 66.895.366 direcciones IP indexadas

Hablando de juegos con Shodan por el tema de los teléfonos SIP de ayer, y enredando con direcciones IP de todos los tamaños, formas y colores, a uno se le ocurrió buscar por las direcciones en la red 0.0.0.0/0, para ver cuántas direcciones IP tiene indexadas el buscador de los banners en su base de datos.

Figura 1: Resultados de buscar en todo Internet

No está mal la base de datos de 66.895.366 servidores que ofrecen un verdadero tesoro para el mundo del hacking con buscadores. Además se ve rápidamente cuales son los países que cortan la pana en Internet... USA el primero con 26 millones y el segundo Alemania, que está a 23 millones y pico de pelícano largo de distancia. "Ahí es ná". ¿Dónde andará mi querida España en esa lista?

Y lo más importate...¿cuánto vale exactamente ese tesoro de datos? Pues es calculable, ya que, teniendo en cuenta que 1 credito en Shodan te deja hacer 1 búsqueda de 10.000 resultados y que cada crédito cuesta 3 USD, entonces... 3 * 7 = 21, me llevo 2 y pasa a la cifra siguiente.... esto... un montón, ¿no?

Saludos Malignos!

lunes, marzo 26, 2012

3.598.025 sistemas VoIP esperando una llamada

Hace ya seis años que realizamos una Gira de Seguridad en la que atacábamos sistemas de VoIP y de IM. En ella hacíamos ataques Man in the middle para reconstruir conversaciones VoIP y ficheros transmitidos por la red con los sistemas de IM, haciendo demos que recuerdo con mucho entretenimiento.

Cuando el miércoles vi la charla de Enno Rey y Daniel Mende en Troopers sobre como hackear SIP-TLS en los sistemas CISCO, se me ocurrió hacer una cosa con unos teléfonos y fui a buscar el post que escribí de Shodan y sistemas de VoIP para encontrar algún terminal en Internet que me permitiera probar la teoría.

Después de darle vueltas, decidí hacer la búsqueda más sencilla en Shodan para encontrarlo. Esto es algo que practica constantemente Enrique Rando en el libro de Hacking con Buscadores: Google, Bing y Shodan, así que introduje la cadena para ver cuántos dispositivos "hablan" SIP en Internet y el resultado abrió un nuevo mundo de posibilidades ante mí.

Figura 1: Resultados a la cadena SIP/2.0 en Shodan

Como podéis ver, el que haya más de 3 millones y medio de equipos con SIP en Internet hace que éste sea un factor de seguridad importantísimo a tener en cuenta en el momento que se hace una auditoría de seguridad a una empresa. Todo esto se ve en el módulo 5 del FTSAI: Auditoría WiFi, VPN, VoIP e IM.

En FOCA se buscan los equipos VoIP haciendo uso de los SRV Records del servicio DNS y de Shodan - gracias al acuerdo que tenemos con John Matherly -, pero no pensé que hubiera tantos. Por supuesto, muchos de ellos están abiertos totalmente, como ya habíamos comprobado.

Figura 2: Paneles abiertos sin solicitar autenticación alguna

Y algunos con logs que permiten descubrir algo que contaron Enno y Dani en su charla, la actualización de los equipos vía servidores TFTP.

Figura 3: Log del terminal SIP con información de los servidores TFTP

Si alguno se pregunta por la idea que tenía al inicio, tendrá que esperar hasta más adelante, que la primera prueba ha dado positivo, así que hay que seguir trabajándola.

Saludos Malignos!

domingo, marzo 25, 2012

SITI/asLAN: Concurso de falsificadores de firmas

Este año SmartAccess ha planteado una actividad muy curiosa como concurso para poner a prueba la tecnología de firma biométrica en dispositivos móviles SealSign (Tenemos que hablar de eso de la usar una foca en el nombre) que va a realizar en SITI/asLan.

Los que hayáis venido a las sesiones de Up To Secure 2012 ya sabéis que SealSign es una solución de firma biométrica y digital pensada para ser utilizada en dispositivos móviles que ejecuten Android, iOS o Windows en ella.

El algoritmo que lleva dentro se ha desarrollado siguiendo las técnicas de reconocimiento grafológico que utilizan los peritos para determinar si una firma ha sido hecho o no por la misma persona, y la solución ha sido validada por abogados de Ecija para ser utilizada como elemento probatorio en un juicio.

Para que pruebes tú mismo si la solución es buena o no, en le próximo SITI/asLAN de Madrid que tiene lugar los días 27, 28 y 29 de Marzo, en el stand de SmartAccess C5 vas a poder intentar falsificar una firma. Sólo por intentar falsificar la firma vas a ganar una tableta... de chocolate, que puede convertirse en un Samsung Note si consigues demostrar que eres un auténtico falsificador.


Allí además podrás ver las soluciones portafirmas que puedes incorporar a las aplicaciones corporativas de tu empresa para introducir la firma biométrica y/o digital como parte de los procesos de control de tu empresa, para sustituir en la medida de las posibilidades el papel.

Después de años trabajando juntos, haciendo el libro del DNIe, colaborando en el FTSAI donde imparten la parte de autenticación fuerte de servidores, y yéndonos de gira juntos, hemos llegado a un acuerdo de partnership con SmartAccess para distribuir la solución SealSign y adaptar las aplicaciones de firma biométrica y digital a las necesidades de los clientes, para que funcionen en Android, iPad o dispositivos con Windows. Si quieres más información sobre esta solución, ponte en contacto con nosotros y te daremos mucha más información.

Debido a esto, también estaremos compartiendo stand en SITI/asLAN con ellos, donde podrás adquirir los libros de Informática64 y obtener información de nuestros servicios de consultoría de sistemas, auditoría de seguridad, cursos de formación o de software como MetaShield Protector o la Forensic FOCA. ¡Nos vemos en la feria!

Saludos Malignos!

sábado, marzo 24, 2012

Semana de la Seguridad 2012 en Tudela


Tuve el honor de estar en la primera Semana de la Seguridad que realizó la gente de la Fundación Dédalo en Tudela. Desde entonces, año tras año han ido manteniendo esta iniciativa, y la semana que viene va a tener lugar la de este año. Éste es el calendario de acciones:
Taller: Amenazas en Internet: reconócelas
Lunes, 26. Marzo 2012 || 18:00-19:00
Taller demostrativo: Backups online de última generación
Lunes, 26. Marzo 2012 || 19:00-20:30
Mesa Redonda Seguridad en la nube
Martes, 27. Marzo 2012 || 19:00-20:30
Coloquio: Jóvenes y Redes Sociales
Miércoles, 28. Marzo 2012 || 18:30-20:00
Taller: Primeros auxilios en redes sociales para padres y madres
Jueves, 29. Marzo 2012 || 15:15-16:15
En esta edición estarán D. Oscar Casado, Director Jurídica y de Privacidad de Tuenti o D. Guillermo Cánovas, Presidente de Protégeles, Pablo Pérez San José de INTECO, entre otros. Las temáticas son variadas como puedes ver, desde las últimas tendencias en la nube hasta las últimas tendencias en redes sociales y jóvenes, en el coloquio del día 28. Además, en la mesa redonda del martes 27 “Seguridad en la nube” se hará entrega de forma gratuita de un ejemplar del último estudio de INTECO sobre seguridad Cloud (en la nube).

Tienes toda la información en la web de la Semana de la Seguridad Informática de la Fundación Dédalo, y no me iré sin deciros que la gente a cargo de la Fundación Dédalo siempre trata bien a sus invitados, así que... apúntate.

Saludos Malignos!

viernes, marzo 23, 2012

FTSAI 8 - Módulo II: Auditoría de Servidores y Clientes

Esta misma tarde da comienzo el módulo II del FTSAI (Formación Técnica en Seguridad y Auditoría Informática) sobre Auditoría de Servidores y Clientes. El módulo dura 25 horas y se realizará durante 5 viernes en las instalaciones de Informática 64 en Móstoles. En la imagen siguiente tienes el calendario de todos los módulos.

Figura 1: Módulos y fechas del FTSAI 8

En el desarrollo del módulo se abordará el conocimiento a fondo de la arquitectura de seguridad de un sistema operativo. Entender qué información es utilizada internamente. Qué información es especialmente valorable en el sistema respecto de un S.O. (logs e información general) para su auditoría. Se analizarán técnicas de auditoría de caja blanca y caja negra. De igual modo el asistente conocerá el funcionamiento del malware en el sistema, capacitándole también para desarrollar tareas de hardening (fortificación) de servidores Windows y Linux y las herramientas útiles para ello.

Además, todos los asistentes van a recibir como kit de documentación los libros de Máxima Seguridad en Windows y de Aplicación del Equema Nacional de Seguridad con tecnologías Microsoft junto con un pequeño manual de apoyo. Por último, hay que añadir que en este módulo este año se dará por primera vez una sesión de Windows 8 Server, ya que lo tenemos a la vuelta de la esquina.

La asistencia al FTSAI se puede hacer módulo a módulo o de forma completa, pero ahora mismo sólo quedan dos plazas para los módulos siguientes. El próximo FTSAI no dará comienzo hasta Septiembre, pero puedes ponerte en lista de espera para que te avisemos contactando con nosotros.

Saludos Malignos!

jueves, marzo 22, 2012

Auditar los inicios, apagados y suspensiones del sistema

Como el artículo de ayer de ¡Alguien me espía el equipo! quedaba muy largo, decidí dejar para otro post el publicar otra útil consulta del Visor de Eventos para saber si alguien ha tocado tu equipo cuando tu no estabas. Esta consulta no es otra más que la de los eventos de inicio y apagado del sistema, algo bastante significativo que puede ayudarte a saber si alguien está intentando hacer algo malo mientras tú no estás.

Eventos de Inicio, Apagado y Suspensión del Sistema Operativo

Los eventos que se generan son fácilmente reconocibles, ya que tanto el de arranque del sistema, como el de apagado se generan en la categoría Kernel General, tal y como puede verse en las siguientes capturas.

Figura 1: Evento de Inicio del sistema operativo

Se usan los ID número 12 y 13 para encendido y apagado.

Figura 2: Evento de Apagado del sistema operativo

A esto hay que añadir que una de las malas costumbres - mala porque deja descifrados los discos con las claves de cifrado liberadas - es el de suspender la sesión, o hibernar la computadora. Ya sabéis, bajar la pantalla del portátil o seleccionar las opciones de supensión o hibernación. En ese caso el evento está en la categoría Kernel-Power y lleva el número 42.

Figura 3: Evento de Suspensión de sistema operativo

Si queremos saber por tanto si alguien ha encendido el equipo en nuestra ausencia, habría que controlar también si lo vuelto a reanudar. Para controlar esto, lo más sencillo es revisar el evento 1, ya que cuando el equipo deja la suspensión, lo primero que hace el sistema operativo es poner correctamente la hora del sistema.

Figura 4: Evento de Cambio de hora del sistema operativa.
Con sólo consultar el evento 1 es posible saber cuándo comenzó a suspenderse y cuándo comenzó a restaurarse el sistema operativo.

Vista del Visor de Eventos

En conclusión, monitorizando en el Visor de Eventos los sucesos 1,12,13 y 42 (aunque no sería necesario) se puede conocer si alguien ha encendido el equipo cuando nosotros no estábamos. 

Figura 5: Fechas de inicio, apago y entrada en suspensión

Por supuesto, igual que en el caso anterior, esto se puede enviar por correo electrónico, lo que nos permitiría saber en tiempo real y en nuestro terminal móvil si alguien está toqueteando nuestro equipo de trabajo o de casa.

Saludos Malignos!

Para conocer más: "Máxima Seguridad en Windows: Secretos Técnicos" 

miércoles, marzo 21, 2012

¡Alguien me espía en el equipo!

No es la primera vez que en Informática64 recibimos una llamada de alguien que cree que le están accediendo al equipo y le están leyendo los documentos. Suelen comenzar las sospechas porque notan que se han movido archivos de sitio o porque el correo electrónico aparece como leído cuando ellos no lo habían hecho aún. Es entonces cuando se produce ese momento de paranoia que a nadie le gusta sentir.

En esos caso lo mejor es hacer un análisis forense del equipo para descubrir qué ha pasado allí en el último periodo de tiempo de uso de ese equipo. En ese momento se revisan logs, eventos, se buscan usuarios con cuentas ocultas, malware instalado en la máquina y/o software de control remoto que pueda estar instalado en la máquina.,

Sin embargo, hay uno de los espionajes más difíciles de detectar: El que se produce por la misma cuenta de usuario por un amigo/familiar/compañero de trabajo con acceso al equipo de la persona. En esos casos, el atacante ha podido robar la contraseña y lo único que está haciendo es entrar con la sesión del usuario revisar, tranquilamente, la información almacenada por esa cuenta en el sistema.

Encontrar las pistas que indiquen que está pasando eso es complicado, ya que el analista no conoce los tiempos y fechas en los que el usuario ha hecho un inicio de sesión para poder contrastarlo con los inicios de sesión registrados en la máquina.

No obstante, tras las recomendaciones previas de analizar el equipo en busca de malware, revisar las cuentas de usuario del sistema, las herramientas de administración y de cambiar la password, lo siguiente que recomendamos es activar la auditoría de accesos a ficheros y registrar los inicios de sesión, para ver las fechas de acceso. No será la primera vez que se detecta de esta forma que un administrador, extralimitándose de sus funciones, hace uso de sus privilegios administrativos para acceder a documentos privados de un usuario en su carpeta. 

Auditoría de acceso a objetos en Windows

En los sistemas Windows, haciendo uso de las políticas se puede habilitar la auditoría de acceso a ficheros, basta con abrir gpedit.msc y activar la auditoría.

Figura 1: Auditoría de acceso a objetos

Por defecto viene desactivada, así que hay que establecer si se quiere activar cuando se produce un acceso con éxito o sin éxito a un objeto. Por supuesto, si hay paranoia, lo mejor es auditar todos los eventos y revisar los intentos de acceso a nuestros archivos.

Figura 2: Opciones de auditoría

Una vez configurada la auditoría, hay que actualizar la política con gpupdate /force y pasar a configurar de qué objetos queremos auditar sus accesos. En este caso he creado una carpeta que se llama importante, y en ella, entrando en Seguridad, Opciones Avanzadas, Auditoría (se requiere elevación de privilegios), he seleccionado que se audite el uso de cualquier privilegio sobre esta carpeta.

Figura 3: Activación de auditoría de acceso a objetos a nivel de objeto
Así, en el momento en que un usuario o servicio toque esa carpeta, se va a generar un registro de sucesos que podremos ver con el Visor de Eventos. Para que sea más cómodo de revisar es mejor crear una vista personalizada para los sucesos de auditoría que nos permitirá saber qué usuario, a qué hora y con qué programa accedió a esos documentos.

Figura 4: Vista personalizada de auditoría en Visor de Eventos
Después, basta con seleccionar esa vista personalizada y revisar los eventos que se han ido generando para saber quién estuvo accediendo a esos ficheros y a qué hora.

Figura 5: Registro de accesos a objetos
Por supuesto, si el atacante entra con nuestra cuenta, siempre podrá borrar todos los eventos del sistema, por lo que si se sospecha que el atacante pudiera realizar esto, lo mejor es automatizar una tarea de envío del evento por correo electrónico en el momento en que se produzca, haciendo uso de la ejecución de tareas automáticas que permite el Visor de Eventos.

Saludos Malignos!

Para conocer más: "Máxima Seguridad en Windows: Secretos Técnicos"

martes, marzo 20, 2012

La FOCA se merece un iPad

En Julio del año pasado publiqué en el blog cuál había sido nuestra experiencia reportando bugs en la web de Apple.com y como llevó a que nos pusieran 4 créditos en el la web de fallos corregidos en los servidores web de Apple. Después de aquella buena experiencia, cada vez que añadíamos algo nuevo a la FOCA, decidimos probarlo con los sitios de Apple, para ayudarles en lo que nosotros pudiéramos, a fortificar sus sitios webs.

Primero le añadimos a la FOCA la búsqueda de fallos de configuración de errores 404 de servidores JSP, y encontramos alguno por ahí perdido que reportamos a Apple.

Figura 1: Creditos por un fallo de Information Disclosure. Octubre de 2011

También le añadimos que buscara los ficheros .DS_Store (ahora con magic number para evitar falsos positivos) y encontramos unos cuantos en Apple.com que reportamos.

Figura 2: Fallo de mala configuración con ficheros .DS_Store. Septiembre 2011

Por último le metimos a la FOCA la búsqueda de los .SVN/Entries y también encontramos alguno que otro por ahí perdido.

Figura 3: Fallo en protección de ficheros .SVN/Entries. Febrero 2012.

Ahora que la FOCA va a ser presentada por primera vez en Hack In The Box en una sesión de 2 horas, estamos pensando en mejorarla un poco para meter alguna prueba más. La pregunta es...¿no pensáis que después de tantos reportes - que ya van 7 - la FOCA no se merece que le regalen un iPad ... o algo?

Saludos Malignos!

lunes, marzo 19, 2012

En memoria del "comandante" Hugo Castellano

Era la NoConName 2010. Llegaba con la hora justa para preparar el aula del talle que iba a dar en aquella edición, y allí le vi, con la gorra calada al estilo del Ché - como dice la canción -. De pie en el mostrador de recepción, dicharachero, con ojos rápidos a la par de su lengua y dispuesto para la acción en cualquier momento. Me lo presentaron, y en el minuto uno me metió la primera pulla, dejándome clara su carta de presentación para que tuviera un buen recuerdo de él. 

A mí que me va la jarana más que un gorrino el barro, decidí sacar el capote y ponerme a torear con él, pero desde el principio supe que no iba a ser un morlaco fácil, pues era más rápido de mente que yo, así que tuve que rendirme y solicitar clemencia después del tercer o cuarto lance. 

Figura 1: Hugo Castellano con Seifreed en la NCN
En aquella NCN no di ninguna charla, y recuerdo a Nico muy ocupado durante los dos días que pasé yo por allí con mi training y el día después. Yo estaba haciendo las fotos del Calendario Tórrido y le necesitaba, pero no era fácil sacar el momento, así que me pasé hablando con su padre, Hugo Castellano,  muchísimo. Hablamos de política, como no, de hackers, de hacktivismo, de revolución, de Argentina, y de los políticos. Recuerdo con exactitud algunas frases que se me marcaron a fuego sobre estos temas, y que siempre tendré conmigo.

Volvimos a encontrarnos en la NCN 2011, esta vez daba charla, pero el tiempo con el que contaba era menor. Sin embargo tuvimos tiempo para charlar dos o tres veces. Tiempo suficiente para que me dijera, otra frase que nunca se me olvidará: "Ya sé porqué llevas el gorro, el pelo largo y ese aspecto". Me guiño un ojo y me lo dijo con voz baja al oído... y acertó en gran medida. Nos reímos, le guiñé un ojo y le dije "¿mejor así, no?"

Figura 2: En la NCN 2011 debatiendo antes de nuestra charla

La última vez que nos encontramos fue en la RootedCON de este año. Cuando nos vimos nos abrazamos, se metió conmigo, yo con su gorra, y estuvimos charlando. "Tenemos que montar algo Chema. Ayer en el debate nos dejaron mal, y esto no puede ser. Hay que sentirse orgulloso de lo que uno es". Él se refería al orgullo de ser hacker y querer cambiar la sociedad. A mostrarse como uno es y sentirse orgulloso de eso.

Cuando Manu y yo dimos la charla, yo hice una broma diciendo: "Esto no es ilegal, al final son ellos los que se conectan libremente a nosotros". Y él me regañó desde el público. Recuerdo que le dije algo: "Sé que lo dices con cariño porque tienes un corazón más grande que la boina". Y lo vi reírse.

Después llegó el debate y me devolvió la moneda, como el primer día que nos vimos, con el capote y la espada en la mano. "Hoy se me cayó un mito" dijo, "Chema justificándose, no reconociendo lo que uno  es y hace". Y yo me tuve que rendir y subir a darle un beso en el escenario.

Figura 3: En el debate de Comunidad Hacker de la RootedCON 2012

Nos vimos después, charlamos, nos reímos, y me contó sus planes para asociarnos y defendernos mejor. Su objetivo era cambiar la percepción que la sociedad tiene de los que nos dedicamos a esto. "Hay que organizarse Chema".  "¿Contamos contigo?".  "Lo veo difícil, pero claro que sí, comandante". "Claro que es difícil, pero hay que pelear" me arengó.

Después, siguiendo la tradición, me despedí de él y de los más cercanos, y tiré la bomba ninja para desaparecer de la RootedCON. Esa fue la última vez que lo vi. La siguiente noticia que tuve fue el sábado, para enterarme de que nos había abandonado.

Él se ganó un sitio entre nosotros, peleó con nosotros, trabajó en la NCN desde las primeras ediciones en Mallorca - aunque como reconoció Nico en la última RootedCON le daba vergüenza y no le dejaba ir por allí -. Estuvo en el panel de la RootedCON y, a diferencia de muchos, él fue a esa conferencia con el espíritu de construir algo más y mejorar.

Es por eso que hoy, día del padre y fecha en la que va a ser despedido en Palma de Mallorca, quiero recordarle como fue conmigo, darle las gracias por las palabras que me dijo,  las enseñanzas que me dejó, y rendirle este pequeño homenaje recordando los momentos que viví con él. Descansa en Paz amigo hacker.

Saludos Malignos!

domingo, marzo 18, 2012

Windows 8 está llegando, ¿te pillará preparado?

Llevo ya 12 años viviendo de muy cerca los lanzamientos de sistemas operativos Windows y cuando está cerca la salida de uno nuevo se nota una actividad frenética en Microsoft. Este movimiento no se había puesto en marcha hasta la llegada de Febrero, pero ahora es palpable por los cuatro costados con solo mirar la lista de cosas que están haciendo, y tras mi última visita al cuartel general de Spectra la semana pasada lo pude palpar en vivo y en directo.

El software para descarga

Desde hace tiempo se puso a disposición de todos la versión Windows 8 Developers Preview, para que los desarrolladores de aplicaciones pudieran ir testeando sus programas con la Interfaz Metro y el entorno Híbrido de Windows 8

Ahora, con la Microsoft Store ya disponible, para todo el mundo se encuentra a disposición la versión Windows 8 Consumer Preview, que es la que yo tengo instalada en un tablet con Windows 8 - y de la que estuve hablando por Twitter. El poder contar con un tablet administrable por Active Directory y que obliga a hacer 0 cambios en la infraestructura de los sistemas de la empresa me tiene encantado -.

Figura 1: Windows 8 Server, con las herramientas de Active Directory

Para que los técnicos empiecen a conocer mejor lo que será la próxima versión servidora, Microsoft también ha puesto la versión Windows 8 Server beta, donde podremos probar ya el sistema de ficheros ReFS, los Store Spaces y el nuevo Hyper-V 3.0. De este último se ha puesto a disposición pública un bonito poster que explica todos los componentes del nuevo sistema de virtualización que puedes imprimir para decorar tus centros de trabajo.

Figura 2: Poster de Arquitectura de Componentes de Hyper-V 3.0 en Windows 8

La divulgación

Por supuesto, el departamento de comunicación también se ha puesto en marcha, y haciendo algo que le hace ser una compañía única comparada con el resto de los grandes software vendors, Microsoft ha preparado no una campaña de marketing - ni mucho menos - sino una campaña de formación para IT Pros y Desarrolladores en el Windows 8 Tour y el Windows 8 Camp que lleva un montón de enseñanza gratuita para los técnicos. Esta es la gira que hay preparada:
22 de Marzo: Sevilla [Windows Tour Presentaciones]
23 de Marzo: Sevilla [Windows Camps Laboratorios]
12 de Abril: Barcelona [Windows Tour Presentaciones]
13 de Abril: Barcelona [Windows Camps Laboratorios]
19 de Abril: Madrid [Windows Tour Presentaciones]
20 de Abril: Madrid [Windows Camps Laboratorios]
23 de Abril: Bilbao [Windows Tour Presentaciones]
24 de Abril: Bilbao [Windows Camps Laboratorios]
15 de Abril: Valencia [Windows Tour Presentaciones]
16 de Abril: Valencia [Windows Camps Laboratorios] 
Si ninguna de estas sedes te viene bien, siempre puedes asistir a los Virtual Hols que impartimos online desde Informática 64 la semana que viene:
Por último, esta campaña de divulgación se completa con los IT Camps de Private Cloud que se están realizando con System Center 2012 "tocando máquina" y que estarán del:
20 al 23 de Marzo: Barcelona
26 al 30 de Marzo: Madrid
26 al 30 de Marzo: Valencia
16 al 20 de Abril: Madrid (Segunda fecha)
Y más...

El lanzamiento oficial, aunque no tiene fecha fija aún, es de esperar que sea como sus predecesores durante el mes de Octubre, momento a partir del cual los técnicos que pretendamos trabajar con estas tecnologías ya deberemos haber hecho parte de los deberes para poder saber cómo funcionan y qué traerán nuevos, que ya hemos visto que vendrán muchas cosas como SecureBoot, Windows 8 To Go y su creación, la interfaz Metro, la Microsoft Store, los nuevos sistemas de Refresh and Reset, los Storage Spaces con el famoso ReFS (evolución de Protogon), el soporte para ARM, Force ASLR y High Entroy ALSR, etc...

Figura 3: Kernel 6.2 en Windows 8, build 8250

Por supuesto, el sistema Windows 8 lleva el minWin con kernel 6.2, por lo que aunque hay novedades en seguridad, todo lo descrito en el libro Máxima Seguridad en Windows sigue siendo más que recomendable, por lo que si te lo has comprado, entenderás mejor todo lo que viene nuevo.

Vamos, que nos toca estudiar un poco. ¿Vas a estar listo para cuando llegue el momento?

Saludos Malignos!

sábado, marzo 17, 2012

No Lusers 126 - Linuxeros


Una mala noche de esas que me desvelé comencé a releer los comics de Frank Miller en Daredevil en los que luchaban contra la Mano. Toda aquella historia tendría un punto épico en el que Bullseye acaba matando a Elektra y con Daredevil soltando a Bullseye de la mano y... - se me pone la carne de gallina sólo con recordarlo -.


Ver esos comics y no querer dibujar ninjas es imposible. Así que me puse a tirar, con nocturnidad y alevosía, unas rayas y pintar a unos ninjas atacando a Josemaricariño. En lugar de La Mano, los ninja debían ser linuxeros, es evidente, pero nada de cualquier linuxero, sino de los duros y peligrosos.... }:P

Saludos Malignos!

viernes, marzo 16, 2012

Owning bad guys & mafia with Javascript botnets (5 de 5)

**************************************************************************************************
- Owning bad guys & mafia with Javascript botnets (1 de 5)
- Owning bad guys & mafia with Javascript botnets (2 de 5)
- Owning bad guys & mafia with Javascript botnets (3 de 5)
- Owning bad guys & mafia with Javascript botnets (4 de 5)
- Owning bad guys & mafia with Javascript botnets (5 de 5)
**************************************************************************************************

Llegando a la Intranet

Una de las cosas que más nos llamó la atención al revisar los datos recolectados es que era posible encontrar información de equipos que no estaban publicados en Internet, es decir, de aplicaciones que estan siendo utilizadas internamente en una Intranet, tal y como se puede ver en los datos siguientes de un registro de personas en una base de datos.

Figura 20: Datos de Intranet. El servidor no era accesible desde Internet.

La razón por la que estos datos han sido recogidos por una arquitectura de botnet Javascript como la descrita en este estudio son simples:
1) En algún momento esta persona decidió voluntariamente en una arquitectura de man in the middle con un servidor Proxy.
2) En algún momento solicitó un fichero Javascript a Internet que estaba siendo compartido por la aplicación de la Intranet y este fue infectado.
Esto deja a las claras que utilizar ficheros Javascript remotos en una Intranet quizá no sea lo deseable y deja abierta la puerta a posibles ataques de este tipo.

Viendo esto se nos ocurrió que sería sencillo preparar una ataque dirigido a una aplicación de una Intranet o de Internet analizando previamente los ficheros Javascript que carga y obligando a los clientes a cargar esos ficheros desde cualquier dominio, de tal manera que se fuerza el cacheo.

Analizando los ficheros Javascript de una web

Para preparar un ataque dirigido a un sitio, es decir, para garantizar que un usuario que forma parte de la botnet esté infectado cuando visita un sitio concreto, hay que saber cuáles son las ficheros javascript que utiliza ese sitio. Para hacer esto se puede hacer uso de la inspección de red en Google Chrome o de Firebug en Firefox, igual que se comprueba si una webshell está troyanizada.

Figura 21: Ficheros Javascript cargados en una página login de un dominio .mil

Por ejemplo, en este sitio se puede ver que en esta página de login se están cargando ficheros Javascript de manera estática, es decir, que siempre se cargan los mismos ficheros, lo que permite forzar un cacheo previo de todos ellos en las víctimas que se quieran infectar. Para ello, en el panel de control se haría un payload en Javascript que hiciera algo como
document.write(<script src=http://www.objetivo.com/target.js >);
Simplemente con esto se consigue que, se visite la web que se visite, se pueda infectar el fichero Javascript que se ejecutará en la página objetivo, esperando que en el futuro el usuario vaya a visitar la página objetivo.

Ficheros Javascript dinámicos

Durante la demo que preparamos para la RootedCon pudimos ver - y sufrir en nuestras carnes mi compañero Manu "The Sur" - que sitios como Facebook cargan ficheros script con nombres que cambian dinámicamente, lo que evita que se pueda cachear previamente el fichero Javascript, por lo que no se puede hacer este tipo de ataques con ellos.

Figura 22: Ficheros Javascript cargados en la página de login de Facebook

Sin embargo, la lista de sitios que cargan ficheros Javascript estáticos en la página de login en bancos, instituciones, empresas, etc... es brutal, ya que no debería ser una vulnerabilidad de seguridad si los usuarios no hicieran mal uso de sus conexiones.

Ficheros Javascript previamente cacheados y HTTPS

Una de las cosas que no implementamos en esta prueba de concepto fue la de forzar que se cacheara el fichero infectado si ya estaba en la caché del navegador. Suponiendo que un sitio cargue un fichero Javascript que el navegador ya tiene en la caché, el cliente no va a solicitar ese fichero, por lo que quedaría sin infectar. Sin embargo, jugando con las opciones de HTTP Etags sería posible forzar al navegador a solicitar los nuevos ficheros, pero esto es algo que no implementamos en esta prueba de concepto

Por otro lado, para no levantar la más mínima sospecha, decidimos no interferir las comunicaciones HTTPs, lo que dejaba fuera de nuestro alcance cualquier conexión segura y cualquier cookie marcada con el flag Secure. No olvidéis que esto sólo fue una POC.

Recomendaciones finales

Tanto las redes TOR como los sistemas Proxy representan esquemas de hombre en medio en los que hay que confiar para hacer uso de ellos. En Internet, poner un servidor malicioso resulta demasiado sencillo como para pensar que no esté siendo realizado de manera masiva por gente con peores intenciones, por lo que si vas a hacer uso de alguna de estas infraestructuras lo mejor es que te prepares para sufrir ataques.

No navegues con sistemas desactualizados por esas redes, firewalls y antimalware alerta, y recuerda que al terminar de hacer uso de ellos deberás tomar precauciones de desinfección. Como recomendación por defecto, borra la caché en cada sesión del navegador, y usa siempre  el modo de navegación privada.

Saludos Malignos!

**************************************************************************************************
- Owning bad guys & mafia with Javascript botnets (1 de 5)
- Owning bad guys & mafia with Javascript botnets (2 de 5)
- Owning bad guys & mafia with Javascript botnets (3 de 5)
- Owning bad guys & mafia with Javascript botnets (4 de 5)
- Owning bad guys & mafia with Javascript botnets (5 de 5)
**************************************************************************************************

jueves, marzo 15, 2012

Crypt4you, un nuevo proyecto de formación gratuita

Crypt4you, un nuevo formato de cursos gratuitos online de criptografía y seguridad de la información en Criptored. De la mano del Dr. Jorge Ramió y del Dr. Alfonso Muñoz, quienes ya nos presentaron hace año y medio el proyecto de Enciclopedia de la Seguridad de la Información Intypedia y cuya última lección se publicará en abril de 2012, nace un nuevo formato de enseñanza online, gratuita y colaborativa, el Aula Virtual de Criptografía y Seguridad de la Información Crypt4you.

Crypt4you es un proyecto de innovación educativa sin ánimo de lucro que nace en la Red Temática de Criptografía y Seguridad de la Información Criptored, en la Universidad Politécnica de Madrid, España. Siguiendo el título del proyecto, se trata de criptografía para ti, criptografía y seguridad de la información para todos, una manera de abrir las puertas de la universidad hacia toda la sociedad. Los autores de los cursos serán preferiblemente investigadores y profesores universitarios miembros de la Red Temática Criptored.

Una de las características distintivas de Crypt4you es la publicación y entrega de lecciones a manera de fascículos todos los días 1 y 15 de cada mes. El primer curso que lleva por título El algoritmo RSA, del profesor Dr. Jorge Ramió, y está compuesto por 10 lecciones que se publicarán desde el 15 de marzo al 1 de agosto de 2012.

Las lecciones contemplan un conjunto de ejercicios y prácticas, propuestos y resueltos y un test final de evaluación personal; con la última lección de cada curso se publicará un examen final. Otra característica de este nuevo formato de formación e-learning es el enfoque colaborativo, en tanto se pide a los alumnos que sigan estos cursos su participación activa a través de las redes sociales Facebook y Twitter de Crypt4you, resolviendo dudas y aportando conocimiento.

Otra faceta novedosa de este proyecto es la actualización dinámica de sus contenidos, en el sentido de que el autor podrá en cualquier momento actualizar los contenidos de sus lecciones, añadir nuevos apartados, nuevos ejercicios y prácticas.

En definitiva, Crypt4you se presenta como un nuevo formato de formación en seguridad de la información en la nube, gratuita, online y colaborativa, con el rigor que ha demostrado Criptored en sus doce años de vida sirviendo más de dos millones de documentos, con una especial dedicación hacia Iberoamérica.

Para mayor información, acceda al sitio Web de Crypt4you y lea las Frequently Asked Questions FAQ.

Equipo de Crypt4you

FOCA Free 3.1.1 disponible para descarga

Ayer por la tarde se subió la compilación de FOCA Free 3.1.1 a la web, con lo que ya se puede descargar el motor de la última versión disponible de esta herramienta. Como siempre, esperamos que la utilicéis, que nos enviéis ideas y sugerencias, así como posibles bugs que os puedan aparecer. Se ha trabajado mucho la estabilidad de FOCA y se ha mejorado el consumo de memoria de la herramienta. 


Entre la versión FOCA PRO 3.1.1 y la FOCA FREE 3.1.1 hay varias diferencias, y como siempre nos las están preguntando hemos hecho una tabla comparativa con lo que tienen de distinto. En principio las funciones de exploiting, la publicidad, el reporting y la velocidad son los aspectos más significativo.


El próximo seminario para conseguir la FOCA PRO 3.1.1 serán los días 9 y 10 de Abril, pero puedes estar siempre informado en la web donde publicamos los próximos eventos de Informática 64.

Saludos Malignos!

miércoles, marzo 14, 2012

Wayra

Supongo que para muchos, igual que lo era para mí al principio, Wayra es un nombre que no os dice nada. A mí no me sonaba nada esto de Wayra porque yo en mi RSS, todo lo que no me cuenta nuevos fallos de seguridad o trae fotos de gatos graciosas, lo elimino. Así que es difícil que yo me entere de algo que no haya pasado por un canal RSS en el que se rompa alguna cosa. Sin embargo, a principios de este año conocí Wayra, y vaya que si lo conocí.


Wayra es una aceleradora de Startups creada desde Telefónica. Un proyecto a nivel mundial que está creando academias de acogida de nuevas empresas y emprendedores a los que se apoya con infraestructura, recursos económicos, y recursos tecnológicos para conseguir que las ideas salgan adelante. 

Actualmente creo que van por 10 las academias abiertas, que tienen sede en Madrid, Bogotá, Barcelona, Londres, México, Buenos Aires, Venezuela, Brasil, Perú y Chile y en cada una de ellas se cuenta con aproximadamente 10 empresas acogidas, lo que deja un número cercano a la centena.

Estas empresas van de lo curioso a lo innovador, de lo innovador a lo peculiar, de lo peculiar a lo novedoso y de lo novedoso a lo más funcional. Desde asistente personales para la moda, sistemas de creación de música en procesos colaborativos en redes sociales, interfaces de usuario para acceso a expedientes clínicos usando kinect para que se puedan usar en quirófanos, o sistemas de monitorización de predisposición para la fertilidad de anímales. Ideas sencillas o complejas que quieren ser empujadas.

Todas ellas comparten ilusión y espacio común en una academia donde trabajan para conseguir prototipos  funcionales, algunas de ellas ya los tienen - os pondré algunos de ellos por aquí según vaya conociéndolos más - para conseguir hacer tecnología, algo que es muy complicado de realizar hoy en día con los recortes económicos que hay en todas partes. Sin embargo, Wayra quiere darles apoyo tecnológico, y en una de esas me "liaron" a mí.

Participando en la elección de startups de la academia de Barcelona

Desde primeros de Febrero he estado colaborando con Wayra, para aportar mi granito de arena en lo que pueda a la hora de darles algo de apoyo técnico a los proyectos, y estoy trabajando con los profesionales que cuidan de las startups, algo que lidera Wayraman, es decir, Gonzalo Martín-Villa.

Aunque tengo base en Madrid, y donde más suelo aparecer es por la academia de Madrid en el famoso Edificio Telefónica de la  Gran Vía, también estaré por otras academias, como la de Barcelona, donde tuve el placer de dar una charla en las jornadas de elección de las startups, o las de Colombia y México, donde estaré en breve - si puedo pasaré también por Venezuela -.

Desde que creamos hace ya más de una década larga Informática64 una de las cosas que más me ha motivado ha sido la de hacer cosas nuevas. Pensar en nuevas ideas y trabajarlas. Así que el tomar contacto con Wayra - cuando me invitó José María Álvarez Pallete (@jmalvpal) y la visité junto con amigos - fue un impacto desde el minuto 1, ya que solo con entrar a la academia las sensaciones son diferentes.

La academia de Wayra Madrid es preciosa...

Ver en el edificio de la Gran Vía en pleno Madrid de un espacio que parece más un garaje que una oficina y donde se hace tecnología, mola mucho, así que, cuando me ofrecieron esto no pude resistirte y a mis compañeros de Informática 64 también les gustó, así que periódicamente pasamos a hacer nuestros proyectos tecnológicos por Wayra, y ayudamos a quién podemos, que muchas veces aprendemos más que enseñar.

César Alierta, José María Álvarez Pallete, Gonzalo "Wayraman" y Neelie Kroes en la academia de Madrid

Como se están haciendo muchas cosas, ya os informaré de las próximas iniciativas de Wayra, que incluirán nuevas oportunidades para nuevas startups tecnológicas, nuevas oportunidades en forma de becas para desarrolladores, y nuevas posibilidades para que técnicos se involucren en las empresas, pero eso será un poco más adelante... cuando acabemos de cerrar todos los preparativos.

Saludos Malignos!