domingo, septiembre 30, 2018

La AI que no quería morir, que quería matar y que no sabía amar

Las pelis de superhéroes basadas en los "viejos" cómics nos han traído de actualidad muchos de los temores que la ciencia ficción fue capaz de meternos en la cabeza cuando éramos niños. Bueno, al menos cuando lo era yo. Los súpervillanos como el Duende Verde, Electro, Joker, Juggernaut, Magneto o el SúperSkrull. Cuando aparecían en la portada del siguiente número en el quiosco se disparaba el ansia por leerlo. Por tenerlo. Por poseer ese cómic mágico en el que en la portada salía el Hombre de Arena luchando contra Spiderman, o dónde Thor luchaba contra Loki en la enésima batalla contra el Principe de las mentiras.

Figura 1: La AI que no quería morir, que quería matar y no sabía amar

Los súpervillanos están en nuestra retina. Y han vuelto a nosotros cuando la nostalgia ha pesado en la industria del cine. Y han vuelto a nuestra vida en forma de efectos especiales increíbles, con sonido, forma y actos mucho más malvados. Las películas de hoy en día, basadas en superhéroes, nos han traído a los viejos malos totalmente rejuvenecidos y con una pátina de modernidad mucho más terrorífica.


Figura 2: Ultron se libera por primera vez

Hoy en día, muchas de las cosas que no tenían explicación, han podio ser explicadas con ciencia y tecnología. Y muchas de ellas ya no parecen locuras de guionistas de cómic sin base científica. Hoy en día la Genética, la Robótica y la revolución de la Inteligencia Artificial pueden explicar muchas de esas cosas que veníamos en cuatricomía sobre un papel de mala calidad en los años 80. Entre ellos Ultron.

Figura 3: Atlas, robot de Boston Dynamics, saltando mejor que yo.

¿Quién no se ha asustado un poco al ver cómo funcionan los robots de Boston Dynamics? ¿Quién no ha pensado en Terminator, Ultron o Saturno-3 al verlos correr como lo hacen, y saltar dando piruetas mejor que nosotros? ¿Quién no ha pensado en lo cerca que estamos de los Replicantes de Blade Runner? ¿Quién no ha visto el exoesqueleto de Aliens o las armaduras de Iron Man?

Figura 4: Carrera por el monte. A ganar un trail.

Pero no solo la robótica, también vemos como la Genética, la Biotecnología y la Impresión 3D, permiten realizar pequeñas y/o grandes mutaciones en los humanos para que escuchen, vean, cambien el metabolismo y la función de su cuerpo, e incluso se reemplacen partes completas de la anatomía. ¿Quién no recuerda El hombre Bi-centenario? ¿O la investigación de los órganos utilizados en Blade Runner? Ya el código genético que nos define empieza a ser cada vez un bloc de notas sobre el que leer, escribir y cambiar cosas. Y entender cada vez mejor el cerebro y cómo funciona. Cómo conectarle cosas.


Figura 5: 10 exoesqueltos más avanzados

Ver cosas como las gafas esas que ayudan a ver los colores a los daltónicos, o el vídeo del niño que es capaz de escuchar por primera vez a su madre, son solo muestras de cómo la ciencia centrada en el cuerpo humano ha avanzado cada día más. 


Figura 6: Daltónicos ven colores por primera vez

Pero cómo no, la visión que más nos aterroriza es la de mezclar las capacidades que tenemos de integrar tecnología en el humano, con la posibilidad de que ese humano no sea humano - que sea algo robótico - y que no tenga nuestros límites. Que sea más listo que nosotros, que sea más fuerte que nosotros, que no se muera nunca.


Figura 7: Niños sordos escuchando por primera vez

De todo eso ha hablado muchas veces la Ciencia Ficción. Blade Runner, El Hombre Bi-Centenario, A.I., etcétera, tocan el tema del miedo a humanos que no tengan esos límites. Y eso es algo que se refleja en la famosa gráfica del Uncanny Valley donde se ve el rechazo por parte de los humanos por aquellas cosas - tecnológicas o no - que parecen demasiado humanos sin tener los límites de los humanos.
Si a este miedo le añadimos la inteligencia máxima el pánico se nos viene encima. Es el caso de Ultron, una proeza de la robótica con la capacidad máxima de la Inteligencia Artificial, centrado en acabar con los humanos. Como Skynet pero con forma robótica atlética. Una AI que no sólo no quiere morir, sino que además quiere acabar con nosotros.

Cualquiera de esos dos comportamientos, deseos o pensamientos - me refiero al de querer sobrevivir o el de querer acabar con nosotros - es algo que se puede programar fácilmente. Es simplemente un algoritmo que esté dentro del sistema que tenga ese objetivo. Al final, cualquier algoritmo tiene siempre un objetivo. Y tomar la mejor decisión para conseguirlo es sólo una cuestión de aprendizaje en base a datos y experiencias.

Es el caso de la Analítica Prescriptiva aplicada a la supervivencia. ¿Qué es lo que debo hacer en base a todos los datos que tengo para maximizar las probabilidades de supervivencia? Es lo que hacemos los humanos durante mucho tiempo. Evitar hacer cosas o hacer cosas que nos sirvan para maximizar esas probabilidades. Y de esa forma hemos ido descubriendo lo que nos funciona para maximizar esa supervivencia. 

De hecho, también nos hemos programado, por desgracia, en el otro caso. El de querer acabar con otros, al principio como forma de maximizar la supervivencia, luego como argumento de cualquier otro tipo que se nos ha inculcado de alguna forma cuando estábamos aún como un lienzo sin pintar.

Figura 9: Cuándo la capacidad de cómputo para la AI superará a la humanidad

¿Llegará la AI a ser más potente que la inteligencia humana? No cabe la menor duda de que va a pasar. De hecho ya no se habla de si pasará o no, sino de cuándo. El famoso momento de la Singularidad en el que incluso las AI serán capaces de crear mejor tecnología de la que nosotros lleguemos a ser capaces de imaginar. Yo tengo bastante claro que llegará ese día no tardando mucho, y ya me preguntaron por ello hace algo de tiempo.

Figura 10: Entrevista sobre AI en Muy Interesante

Algunos hablan del 2030, otros del 2050, algunos de más lejos, pero para mí no hay la menor duda que pasará. Así que tendremos tecnología robótica más fuerte, más inteligente, e incluso más humana que nosotros. Está en nuestras manos resolver todas esas cuestiones que nos plantearon los maestros de la Ciencia Ficción con los libros y las películas que tanto nos han impactado. ¿Seremos Ready Player One, Altered Carbon, Blade Runner, Terminator o cualquier otro? Quién lo sabe...

Se puede programar el deseo de no morir, se puede programar el deseo de matar y se puede programar el amor. Ahora, elegir los valores a programar como ética exige ponerse de acuerdo en muchas cosas, y lejos estamos. Al final, son sólo algoritmos que replican lo que tenemos los humanos... ¿pero no será lo que tenemos los humanos nada más que otra programación que alguien hizo sobre nuestro genoma?

Saludos Malignos! 

sábado, septiembre 29, 2018

Charlas y conferencias en las que participamos esta semana en @0xWord @ElevenPaths @LUCA_d3 @Telefonica

Se acabó el mes de septiembre, y comienza el que probablemente suele ser el más con más eventos y actividades del año. La oferta con citas, conferencias, y charlas suele ser grande, y por tanto nuestras participaciones se multiplican. Hoy os dejo lo que tenemos para la semana que viene, donde yo voy a estar bastante ocupado durante todos los días. Esta es nuestro calendario, toma nota.

Figura 1: Charlas y conferencias en las que participamos esta semana en
@0xWord @ElevenPaths @LUCA_d3 @Telefonica

2-Oct: ESET Security Days [Valencia] [G][*]
Yo voy a participar este día en Valencia, con una charla sobre cómo gestionar la seguridad. Sobre qué esperar y qué no esperar. Sobre cómo organizar el trabajo y evitar caer en pensar que en la gestión de los incidentes de seguridad hay magia. Tienes la agenda completa del evento en esta web.
Figura 2: ESET Security Days

03, 04 y 05-Oct: EnlightED [Madrid][*]
El miércoles da comienzo el evento EnlightED, dentro del South Summit que se celebra en Madrid. Es un evento centrado en la educación digital impulsado por Telefónica y el Instituto de Empresa. Hay ponentes internacionales de gran nivel, y yo estoy invitado a participar en un panel que tendrá lugar el día 3 por la tarde. Eso sí, el evento dura hasta el día 5, así que hay muchas charlas que ver. Tienes toda la info en la web del mismo:
Figura 3: enlightED

03, 04 y 05 -Oct: XV RECSI [Granada]
La conferencia RECSI, de celebración bienal, es una de las conferencias más antiguas y de prestigio en España. Una conferencia que reúne a expertos de mundos dispares: en esta edición se profundizará en multitud de temas que irán desde la seguridad en dispositivos móviles hasta el criptoanálisis, pasando por protocolos criptográficos, seguridad en redes, nuevas amenazas y mecanismos de defensa, privacidad, etcétera.En esta edición, ElevenPaths presenta un trabajo fruto del departamento de innovación y laboratorio: Practicas de desarrollo de extensiones en el mercado de Mozilla tras Firefox Quantum. Las conferencias durarán tres días y tienes toda la información en la web de registro.
Figura 4: XV RECSI en Granada

4-Oct: LUCA Innovation Day [Madrid] [Streaming] [G][*]
En Madrid tenemos ya el registro cerrado. Han sido muchos los registros y hemos tenido que habilitar los dos auditorios, más una sala de vídeo en la zona de demostraciones. Como sabéis, LUCA ha sido elegida como Líder en Insights de BigData para Forrester, un reconocimiento a dos años de dura labor en la creación de productos y servicios que ayuden a nuestros clientes a convertirse en empresas Data-Driven Decisions. Pero queremos ir más allá, y acompañar a nuestros clientes en el camino de ser AI-Driven Decisions y puedan incorporar los servicios de AI y las tecnologías Cognitive en sus estrategias de futuro. Puedes registrarte para asistir vía online, y si eres cliente de Telefónica hablando con tu Account Manager para ver si te podemos conseguir alguna de nuestras plazas.
04-Oct: Seguridad en redes Wi-Fi [Online] [G]
Durante muchos años se ha hablado sobre los diversos ataques a redes wifi, si son seguras o no. Cuando hablamos sobre estos temas, siempre terminamos pensando en las redes de nuestros hogares. Sin embargo, las grandes implementaciones como en los casos de redes de hoteles, eventos, aeropuertos, empresas… tienen la posibilidad de desarrollar infraestructuras con arquitecturas pensadas desde la óptica de la seguridad. En esta sesión, veremos mediante distintos ataques a redes wifi, qué posibilidades ofrecen los grandes fabricantes para protegernos de los diferentes ataques a redes wifi.
Figura 6: Seguridad en Redes Wifi [Online]

04, 05 y 06-Oct: Navaja Negra [Albacete]
Durante el fin de semana tendrá lugar una nueva edición de la Navaja Negra. Con una lista enorme de ponentes, estarán nuestros compañeros de ElevenPaths Pablo González y Santiago Hernández, también Raúl Siles, Alfonso Muñoz, Elias Grande o Rafa Sánchez, de los que os he publicado cosas en este blog en el pasado. Además tendrá un stand 0xWord, y habrá unos horarios de firma de libros, ya que están Pablo González - autor de entre otros libros de Pentesting con Powershell & Hacking con Metasploit, Jordi Serra autor de Esteganografía & Estegoanálisis junto con Alfonso Muñoz; también está Amador Aparicio que es autor de Hacking Web Technologies 2ª Edición junto conmigo o David Meléndez que escribió uno de los libros más solicitados "Hacking con Drones: Love is in the air". Esta semana intentaré poneros los horarios de las firmas de libros, pero las tendréis en el stand de 0xWord que habrá allí. Más información en la web:
Figura: Nava Negra Conference en Albacete
Además,  en la Navaja Negra tendréis los libros con un 5% de descuento en el stand y podréis conseguir las nuevas pegatas mejor que en ningún sitio.
Y  esto es todo lo que tenemos de momento para esta primera semana de Octubre. Vendrán muchas más cosas, así que os iré informando paulatinamente para que no os perdáis nada de lo que estamos haciendo.

Saludos Malignos!

viernes, septiembre 28, 2018

El texto del pregón de las fiestas de Móstoles

Estoy a punto de cambiar otra vez de equipo y por ello tengo que dejar esta "funda" vacía de todo documento antes de proceder a destrozar el disco duro. Dentro de los documentos me he encontrado con el texto que utilicé para memorizar el discurso del Pregón de las Fiestas Patronales de Móstoles 2018, y lo voy a publicar hoy para que se quede para siempre aquí.

Figura 1: El texto del pregón de las fiestas de Móstoles

Al final tenía solo un par de minutos, así que no podía divagar u olvidarme de nada, con lo que escribí un texto con varios párrafos que numeré para tener el tempo y el número de ideas. Luego subrayé y resalté las palabras clave para hacerme recordar el texto, y por fin memoricé todo lo más que pude. No esperaba recitarlo de memoria, pero sí saber más o menos por dónde iba, lo que me quedaba por contar y tener un hilo argumental.


La realidad del momento te cambia el paso. Gente que dice cosas desde el público, el momento en que subes al escenario y no te engancha el texto escrito con las frases dichas, o simplemente un glitch en la memoria que hace que cambies. Pero teniéndolo trabajado todo es mucho más sencillo, que cuando te vas a enfrentar a tanta gente en el escenario es mejor haberte preparado que no haberlo hecho.


Al final lo hice y quedé satisfecho, más o menos dije lo que quería decir, y en el plazo que quería decirlo. Y ya está. No creo que vuelva a dar un pregón en mi vida, por eso quise que el diera lo hubiera trabajado como si fuera el último. Y así lo hice.

Saludos Malignos!

jueves, septiembre 27, 2018

InspectURL: Comprueba la seguridad de los scripts en una URL

Infecciones masivas, redirecciones sospechosas, iframes con webs que redireccionan a ellas mismas, etcétera. Durante los meses que llevo desarrollando Notmining, son muchos casos diferentes los que he visto a la hora de descubrir las nuevas formas que se estaban utilizando para introducir mineros dentro de una web y, sobre todo, para que no fuesen detectados. Estos mismos métodos o sino, muy parecidos, son los que se utilizan también para introducir cualquier otro tipo de código malicioso dentro de cualquier web.

Figura 1: InspectURL: Comprueba la seguridad de los scripts en una URL

Teniendo en cuenta el caso de los mineros, para comprobar si una web está infectada, sólo tienes que introducir la URL en Notmining y te dice el script exacto que está infectado. ¿Qué pasa si la infección no es un minero y tenemos un script concreto, iframes, o directamente una inyección de código Javascript con el que se han infectado miles de webs?.

Imaginémonos que cualquier administrador web lee una noticia en la que se dice que se han producido miles de infecciones de sitios webs inyectando un código Javascript concreto. Ve ese script y descubre que contiene una variable muy llamativa, como puede ser, “elladodelmal”. La pregunta siguiente va a ser: ¿estará mi web infectada?. En ese caso tendríamos la opción de ir script por script buscando esa variable. Si es una web más o menos pequeña, quizás se haga de una forma rápida, pero si no, podemos ir preparando la cafetera.

Una demo de InspectURL

Aprovechando la forma en la que Notmining realiza el análisis, pensé que sería una buena idea crear otra aplicación, a la que he llamado Inspect URL que no estuviese limitada solo a los mineros, sino que cualquier persona pudiese comprobar, teniendo datos de una infección, si su web está infectada o no y, en el caso que lo esté, decirle donde exactamente.

Figura 2: Inspect URL sobre elladodelmal

Continuando con el caso anterior de “elladodelmal”, hemos decidido hacerle un análisis al blog de Chema Alonso que, seguro, no encontramos nada referido a “elladodelmal”. Lo primero que nos sale al realizar el análisis es si la web redirecciona a cualquier otra web, el nombre del dominio, la dirección IP y el país.

Figura 3: Scripts con la cadena elladodelmal

A continuación podemos ver el resultado del análisis de los scripts. Como podéis ver, hay dos scripts que dan positivo al análisis. En caso de infección, esos dos serían los que tendríamos que limpiar o, directamente, borrar.

Figura 4: Scripts con resultado positivo

Ahora , en primer lugar, vemos si hemos encontrado esa variable, dentro de las etiquetas “<script></script>”. Como podéis ver se ha encontrado. En segundo lugar, vemos si algún iframe, tiene el nombre que le hemos introducido. En este caso no hay ningún iframe que contenga en su nombre “elladodelmal” y, en tercer lugar, comprobamos, al igual que hemos comprobado los iframes, si algún script contiene el nombre “elladodelmal”.

Figura 5: Prueba de Inspect URL 

Como podéis ver en el vídeo que os dejo en la Figura 5, es una manera muy simple de encontrar código que ya conocemos que es malicioso, o incluso código no malicioso, pero que queremos saber si esa web lo está utilizando.

Autor: José C. García Gamero.

miércoles, septiembre 26, 2018

¿Quieres saber más sobre los autores de algunos de los libros de @0xWord? En estas mini-entrevistas te lo contamos.

En este post, ya vimos la primera entrevista que hicimos a Pilar Vila sobre su fantástico libro “Técnicas de Análisis Forense para Peritos Judiciales Profesionales”. Partiendo de este concepto de mini-entrevista, pensamos que sería una buena idea realizar otras a algunos autores de libros de 0xWord. De esta forma podemos conocer un poco más tanto al autor como el libro que han escrito.

Figura 1: ¿Quieres saber más sobre los autores de algunos de los libros de 0xWord?
En estas mini-entrevistas te lo contamos.

El siguiente protagonista que hemos entrevistado es David Melendez, autor del libro “Hacking con Drones: Love is in the air”. David ha estado recientemente en dos de las convenciones de seguridad más importantes como son la DefCon y BlackHat, hablando precisamente de este tema, hacking de drones. Después de este éxito, David está recorriendo prácticamente todos los eventos de seguridad en España. Un libro espectacular, tanto en lo teórico como en lo práctico. Aquí tenéis la entrevista:


Figura 2: Entrevista a David Meléndez

Pablo González Pérez, responsable del equipo Ideas Locas CDO Telefónica (al cual estoy orgulloso de pertenecer), es nuestro siguiente entrevistado. Pablo ha escrito un nuevo libro sobre Metasploit llamado “Hacking con Metasploit: Advanced Pentesting”. No hace falta recordar que Pablo es un reconocido experto en seguridad informática y además conoce muy bien Metasploit, el framework de pentesting más utilizado. Ha realizado (y realiza) numerosas charlas y talleres referente a este tema, como en la pasada RootedCon Valencia. Un libro imprescindible si quieres dominar Metasploit. Ésta es la entrevista que le hemos realizado:


Figura 3: Entrevista a Pablo González sobre Metasplolit

Carlos García es nuestro siguiente entrevistado, un ingeniero con más de seis años de experiencia en temas de ciberseguridad y pentesting. Carlos ha escrito el libro “Hacking Windows: Ataques a Sistemas y Redes Microsoft”, junto a Valentín Martín y Pablo González. Todos los autores tienen gran experiencia en temas referentes a la seguridad en entornos Windows, por lo que es un libro que no te puedes perder si estás interesado en la seguridad de los sistemas operativos de Microsoft. Aquí tienes la entrevista que hemos realizado a Carlos García donde nos cuenta un poco más sobre él y el libro:


Figura 4: Entrevista a Carlos García


Nuestro último protagonista es de nuevo Pablo González. Esta vez nos hablará de un libro que trata sobre otra de sus especialidades, Pentesting con PowerShell. En concreto ya salió publicado en 2015 pero ahora tienes disponible la segunda edición revisada y actualizada. Pablo ha demostrado que PowerShell es cada vez más una gran herramienta para pentesting. Él mismo ha desarrollado proyectos basados PowerShell como iBombShell el cual irá a la nueva edición de BlackHat Europe Arsenal. Aquí tenéis la entrevista:


Figura 5: Entrevista sobre Pentesting con PowerShell


Tenemos más entrevistas que realizar, en breve las iremos publicando aquí. Tienes todos los libros de 0xWord en este enlace y si tienes alguna sugerencia sobre algún autor o libro que quieras conocer más, no dudes comentarlo.

Autor: Fran Ramírez, (@cyberhadesblog y @cybercaronte) miembro del equipo de Crazy Ideas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" y del blog Cyberhades.

martes, septiembre 25, 2018

El ‘hop’ de Empire que permite meter saltos en los agentes de post-explotación

Que me gusta Metasploit es algo que muchos ya saben, pero que también me gusta y mucho el proyecto de Empire es algo que pocos saben. He seguido jugando y viendo las posibilidades que ofrece Empire y en lo que a listeners y tipos de configuración se refiere es algo muy potente. Hoy quiero hablar sobre el listener de Empire de tipo hop.

Figura 1: El ‘hop’ de Empire que permite meter saltos en los agentes de post-explotación

Probablemente os sea muy útil, cuando se trate de ocultar la dirección IP desde la que se está realizando el pentesting, así que vamos a ver en detalle cómo se configura en Empire.

Listeners en Emprie

Un listener es un proceso que queda a la escucha en un puerto y que tiene un comportamiento ante las peticiones de conexión que nos llegarán de los agentes que se estén ejecutando en las máquinas comprometidas. La idea es sencilla, tenemos un servidor que hará labores de intermediario, el cual debe tener la característica de ser un servidor web.

La máquina dónde el agente es ejecutado, por ejemplo, tras una explotación de una vulnerabilidad, se conectará con el servidor intermedio, el cual tiene configurado unos recursos PHP que harán la redirección al listener de tipo HTTP, el listener más clásico, el cual se encuentra en la máquina Kali Linux dónde ejecutamos Empire.

Figura 2: Escenario de listener tipo hop en Empire

En la imagen superior, se puede visualizar el esquema comentado anteriormente. Si analizamos la primera conexión que hace el agente mediante el comando ‘netstat –na’ podríamos ver que hay una conexión entre la máquina intermedia y la máquina víctima. No aparece la máquina de Empire. Es más, cuando la máquina con Empire recibe la conexión del agente, se puede visualizar que la dirección IP de la que viene la conexión es la máquina intermedia.

Paso 1: Probando listerners

El escenario propuesto para la prueba que vamos a hacer es el siguiente:
• Máquina Kali Linux con Empire C2 en la dirección IP 10.0.0.1.
• Máquina Ubuntu, que será la máquina intermedia, en la dirección 10.0.0.20.
• Máquina Windows 7, en la que se ejecutará el agente, en la dirección 10.0.0.10.
El primer paso es configurar los listeners. En este caso debemos configurar dos listeners, el primero es un listener HTTP clásico de Empire, mientras que el segundo será un listener de tipo http_hop. En la imagen se puede visualizar como se configura el listener HTTP en el puerto 80 de la máquina con dirección IP 10.0.0.1, en este caso nuestro Kali Linux.

Figura 3: Configuración de listener http en Empire sobre Kali Linux

Una vez configurado el primer listener, vamos con el segundo. El listener de tipo http_hop generará una serie de archivos, los cuales son configurados en el host 10.0.0.20:80. En esa máquina tendremos un servidor web con PHP. Como se puede ver en la imagen, se obtiene una serie de archivos PHP los cuales saben gestionar las peticiones que reciban y reenviarlas, gracias al atributo RedirectListener, al listener http, el cual se encuentra configurado en la máquina 10.0.0.1.

Figura 4: Configuración de listener http_hop en Empire

Para subir los archivos al servidor intermedio se pueden utilizar diferentes formas, entre ellas la copia a través de SSH. Esto ya depende de cada uno y de las circunstancias, ya que en un Ethical Hacking podríamos hablar de una máquina comprometida y que queremos utilizar para hacer el ‘hop’ hacia el primer listener. Sea como sea, hay que subir los archivos PHP generados a la máquina intermedia.

Figura 5: Subida de archivos al servidor del listener http_hop

Paso 2. Recepción del stager a través de la máquina intermedia

Una vez tenemos todo preparado, hay que ejecutar el agente en la máquina víctima o comprometida. En otras palabras, un agente configurado mediante usestager apuntando al listener http_hop será ejecutado y éste emprenderá una conexión al servidor intermedio, el cual redirigirá la conexión al listener de la máquina 10.0.0.1.

Figura 6: Conexión desde la máquina intermedia

Cuando la conexión llegue, tal y como se puede ver en la imagen superior, la máquina 10.0.0.1 recibirá la conexión con el agente y la dirección IP que aparece es la 10.0.0.20, que es la máquina intermedia. En ningún caso se la dirección IP de la máquina víctima, que es la 10.0.0.10. Al ejecutar el comando agents, se puede ver la conexión y ejecución del agente en la máquina Windows 7. Aquí sí se puede ver que la dirección IP de la máquina Windows es la 10.0.0.10.

Figura 7: Prueba de listener http_hop en Empire

Os dejo un video en el que podéis ver todo el proceso desde cero, para que se entienda bien. Sin duda, este tipo de técnicas y usos son interesantes de cara al pentesting y el Ethical Hacking. Seguiré aportando más información sobre las posibilidades que ofrece Empire en su esplendor.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

lunes, septiembre 24, 2018

El cuento de "El batería suplente de The Goo Goo Dolls"

Aún sigo contándoles historias inventadas de mi boca a mi Hacker y mi Survivor. Sigo viviendo historias con el Dragón Matías y sigo disfrutando de adornarles las narraciones con todo tipo de cosas y vivencias que tienen que ver con su realidad. Un poco de realidad, un poco de ficción y un poco de magia. Es la formula que sigo.

Como ya os dije, estoy recopilando todas las historias que me invento sobre el Dragón Matías, todos los cuentos como El Gigante de los Juguetes, La Hormiga Valiente o Serpentina y los quesos olorosos. Hoy os traigo uno que le cuento a mi Hacker desde que fuimos a ver a The Goo Goo Dools en concierto. Una historia que tiene que ver con realidad y magia mezcladas en un cuento que le encanta que se lo narre por las noches mientras toco la batería. Aquí os lo dejo.

Saludos Malignos!

Figura 1: El batería suplente de The Goo Goo Dolls

Parte I: La Princesa Chiquitina no se duerme

La Princesa Chiquitina estaba muy nerviosa. Aún su cuerpo le pedía actividad física. Quería saltar. Quería correr. Quería botar. Pero ya no era hora para ello. Todos dormían alrededor de la fogata. Menos ella. O al menos eso le parecía a la

Tenía los ojos abiertos debajo de la manta que le había dado su mamá cuando era pequeña y que siempre la acompañaba cuando salía de viaje. También tenía con ella, apretada contra su pequeño cuerpecito y debajo de la manta, a su “Pepita”. Su muñeca favorita. Esa muñeca que por nada del mundo le hubiera podido quitar El Gigante de los Juguetes. ¡Qué lo hubiera intentado!

El Dragón Matías estaba vigilante y se había percatado del latido acelerado de la Princesa Chiquitina debajo de la manta. Parecía una pulga saltarina debajo de la gran manta. Y el viejo Dragón Matías sabía qué le estaba pasando. Estaba intranquila por las aventuras de mañana y no lograba conciliar el sueño, así que decidió hacer algo.

De repente la Princesa Chiquitina notó un golpecito en el culete, por encima de la manta. Y se asustó. Abrió aún más los ojos y se incorporó.
- “ ¡Eh, viejo Dragón Matías! ¿Por qué me has dado con la cola en el culete? ¿Te parece eso bien? ¡Abusón! ¡Que estás golpeando el culete de una niña pequeña!”
El Dragón Matías se quedó sorprendido. No esperaba esa reacción. Le había pillado totalmente por sorpresa. Se incorporó un poco y le pidió a la Princesa Chiquitina que no gritase, que iba a despertar a los demás.
- “Discúlpeme Princesa Chiquitina, no era mi intención molestarle. Tuve la impresión de que se sentía un poco intranquila por las aventuras que tenemos por delante mañana y pensé que le costaría conciliar el sueño.”
- “Pues sí, me está costando un poco, pero eso no te da derecho a darme un coletazo de dragón en mi culete”, replicó al tiempo que se cruzaba de brazos y fruncía el ceño sentada debajo de su manta.
El Dragón Matías suspiró, y viendo lo enfadada que estaba la Princesa Chiquitina, decidió que era mejor probar otra estrategia. Y así se lo propuso.
- Princesa Chiquitina, ¿te gustaría que te contara un cuento a ver si te ayuda a conciliar el sueño?”, propuso el viejo Dragón Matías.
- “¡¡Sííííííííííí!!, ¡cuento, cuento, cuento!”, contesto con un grito controlado la Princesa Chiquitina.
El Dragón Matías sabía lo mucho que le gustaban los cuentos, así que era sencillo conseguir que la Princesa Chiquitina se emocionara con la idea. Así que la cogió con la cola y la subió a su chepa para separarse un poco del grupo y no molestarles con la historia.
- “¿Cuál me vas a contar viejo Dragón Matías? ¿El de La Hormiga Valiente? ¿El de Serpentina? ¿cuál, cuál, cuál?”, interrogaba ansiosa la Princesa Chiquitina.
- “Ninguno de esos, Princesa Chiquitina. Todos esos te los conoces muy bien y me los podrías contar tú a mí en lugar de hacerlo yo. Te voy a contar uno que no conoces y que tiene que ver con lo que te pasa esta noche”, dijo el Dragón Matías.
- “¿Ah, sí? ¿y cómo se llama ese cuento que yo no conozco?”, dijo con los ojitos más abiertos aún si cabe, y con una sonrisa desdentada (se le había caído su primer diente a la Princesa Chiquitina) abierta de oreja a oreja.
- “Pues se llama El batería suplente de The Goo Goo Dolls”, digo el Dragón Matías.
La Princesa Chiquitina se quedo un poco extrañada. No había oído ese cuento nunca. Aún que sí que le sonaba el nombre ese de The Goo Goo Dolls. Era un grupo de músicos ambulantes que de vez venían a dar recitales en las fiestas. A su hermana, la Princesa Cassandra, le encantaba ir a verlos y ponerse en primera fila a cantar sus canciones y saltar como una loca. Pero… ¿qué tendría eso que ver con un cuento?
- “Qué nombre más raro para un cuento Dragón Matías. Espero que sea bonito.”, dijo la Princesa Chiquitina retándole mientras le señalaba amenazadora con un dedo la nariz.
El Dragón Matías sonrío pensando en qué diferentes pueden llegar a ser todos los niños. Y lo enérgica que había salido esta Princesa Chiquitina. Estaba claro que había venido a abollar este mundo con sus saltos. Y comenzó su historia…

Parte II: El batería suplente de The Goo Goo Dolls.

Érase una vez que se era una niñita pequeñita y regordeta que no quería dormir. No se dormía ninguna noche. Ninguna. Y a su papaete le destrozaba el descanso. Todas las noches la niñita pequeñita y regordeta se negaba a dormir. Una noche tras otra lloraba, gritaba y pataleaba sin dormirse. Hora tras hora en la noche.

Su papaete estaba desesperado. Al día siguiente tenía que trabajar y necesitaba descansar por la noche. Pero no había forma. Si era capaz de dormir dos horas era de casualidad. Y el día se la hacía largo e insuperable. Pero tenía que trabajar.

Eso sí, todas las mañanas la niñita pequeñita y regordeta se echaba las siestas más placenteras del mundo mientras escuchaba vídeos musicales al lado de la televisión. Dormía feliz y contenta escuchando música mientras su papaete se tenía que ir a trabajar.

Y por la noche. Otra vez la misma fiesta.

El papaete había probado todo. La había sacado por la noche a dar vueltas montada en su sillita para que se durmiera a la luz de la luna con el movimiento del transporte. La había acunado en brazos cantándole canciones de rock, de amor y hasta de La Kalabaza de Pippa. Pero nada. En cuanto la dejaba dentro de su cuna, la niñita pequeñita y regordeta comenzaba a llorar, gritar y patalear otra vez…

Así pasaron las semanas, hasta que el papaete descubrió un secreto de la niñita pequeñita y regordeta que le ayudó a resolver su problema.
- “¿Cuál era el secreto? ¿Cuál?¿Cuál? ¡¡¡¡Cuenta viejo Dragón Matías, que quiero saberlo!!!!”, dijo la Princesa Chiquitina que estaba enganchadísima a la historia de la niñita pequeñita y regordeta. De hecho, parecía que a la Princesa Chiquitina le sonaba muy de cerca esa niñita pequeñita y regordeta de la historia que podía ser insoportable a veces….”
- “Tranquila, Princesa Chiquitina, déjame continuar y llegarás al final de la historia”, respondió el Dragón Matías intentando calmarla.
Un día, cuando el papaete se iba de casa a trabajar, vio como su niñita pequeñita y regordeta estaba feliz a punto de echarse su siesta mañanera. Pero estaba más feliz que de costumbre. La culpa la tenía una canción que estaba escuchando. La canción se llamaba “Name” y era de The Goo Goo Dolls.

¿Cómo podía ser eso? La canción de ese grupo de música era capaz de calmar a su niñita pequeñita y regordeta. ¿Qué tenía esa canción? Tenía que averiguarlo. Tenía que aprender a calmar a su niñita pequeñita y regordeta tal y como lo hacían los The Goo Goo Dolls.

Ese día el papaete se pasó todo el día escuchando la canción una y otra vez. Una y otra vez. Hasta que se aprendió todos los detalles de ella. Los acordes musicales. Los ritmos de la batería. Los giros con la voz que hacía el cantante. La letra. El significado completo de la historia. Todo lo que pudo. La escuchó una y otra vez. Y al final toaba con la mano sobre la mesa la batería de la canción.

Volvió a casa con la canción en la cabeza. Dando palmaditas al ritmo de la batería de la canción. Tenía un plan y lo quería ejecutar. Había una esperanza para dormir a su niñita pequeñita y regordeta y no quería desaprovecharla. Se sabía la canción, pero no estaba seguro de que eso le sirviera. Por las noches la niñita pequeñita y regordeta solía llorar, gritar y patalear hasta extremos más de lo que una canción pudiera contener.

Cuando llegó la noche, el papaete tumbó a la niñita pequeñita y regordeta en su cama, y cuando comenzó a llorar el papaete se tumbó a su lado en la cama y comenzó a tararear la canción deThe Goo Goo Dolls. La niña pareció reconocer la melodía y redujo un poco el llanto, pero no era suficiente. Había que hacer más, pero no tenía muchas herramientas. Allí estaba él solo con su niñita  pequeñita y regordeta tumbada boca a bajo, llorando, gritando y pataleando.

Entonces se le ocurrió hacer el ritmo de la batería de la canción con suaves golpecitos sobre el culete de su niñita pequeñita y regordeta, para hacer que la canción tuviera más ritmo. Así que como se la sabía de memoria, la tarareó y le hizo los ritmos de los bombos y los platillos de la batería en el culete de la niñita pequeñita y regordeta.

Y funcionó.

La niñita pequeñita y regordeta poco a poco dejó de patalear. Luego dejó de gritar. Un poco más tarde dejó de llorar. Y luego, como por arte de magia, se durmió. Feliz. Profundamente. Se durmió. Mucho. Mucho y apretado. El papaete no se lo podía creer. Por fin podría dormir. Y así lo hizo. Durmió ocho horas. Seguidas. Sin pataleos. Sin gritos. Sin lloros. Durmió y soñó. Soñó con The Goo Goo Dolls. Soñó con todas sus canciones. Y se levantó feliz.

Al día siguiente el papaete se esmeró en aprenderse todas las canciones de The Goo Goo Dolls que tanto le gustaban a su niñita pequeñita y regordeta. Y vaya que si lo hizo. Día tras día, noche tras noche, se aprendió las melodías y los ritmos de batería de todas las canciones del grupo que tocaba con arte y esmero sobre el culete de la niñita pequeñita y regordeta.

Cachete va, cachete viene. Plas, plas en el culete. Redoble de tambor. Golpecitos rítmicos sobre el culete de su niñita pequeñita y regordeta que le convirtieron en un experto batería de las canciones de The Goo Goo Dolls.

Resuelto el problema del sueño de su niñita pequeñita y regordeta, decidió llevarla cuando ya era un poco mayor, a ver al grupo que le salvó de las noches en vela. Compró las entradas, y se fueron juntos para el concierto. Los primeros. Querían disfrutar todas las canciones desde la primera fila. Pero… algo pasó ese día.

Los miembros del grupo de The Goo Goo Dolls salieron para decir que no podían tocar. Su batería se había puesto malito y no podía dar el recital esa noche. No tenían ningún batería sustituto que se supiera las canciones y tendrían que retrasar el concierto para otro día.

En ese momento, el papaete de la niñita pequeñita y regordeta, que ya no era nunca más ni pequeñita ni regordeta, se ofreció a tocar la batería. Su niñita estaba triste y no iba a dejar que cancelaran el concierto. Se sabía todas las canciones. Una tras otra. Las había tocado cientos de veces cada una el culete de su niñita pequeñita y regordeta.

Johnny miró a Robby. Robby miró a Johnny. Levantaron los hombros y dijeron: “Why don´t give him a try?”. Y lo llevaron hasta la batería, mientras que la niñita que antaño fue pequeñita y regordeta se situaba en primera fila. Sorprendida de ver a su papaete detrás de la batería y subido al escenario con The Goo Goo Dools. No se lo podía ni creer.

El concierto comenzó con la canción favorita de la niñita que antaño fue pequeñita y regordeta. El papaete cerró los ojos y comenzó a tocar de memoria los ritmos de “Name”. Fue todo un éxito. El público se lo pasó fenomenal y el papaete se divirtió muchísimo.

Desde ese día, el papaete de la niñita que antaño fue pequeñita y regordeta se convirtió en el batería suplente oficial de The Goo Goo Dolls, y de vez en cuando ponía en práctica todo lo que había aprendido durmiendo a su niñita pequeña y regordeta tocando canciones sobre su culete.

Y colorín colorado, este cuente se ha acabado.

Parte III: Epílogo
- “¿Te ha gustado el cuento Princesa Chiquitina?”, preguntó el viejo Dragón Matías.
La Princesa Chiquitina estaba empezando a tener sueño, pero aún se resistía. Tenía junto a su naricilla a su muñeca Pepita, y la olfateaba una y otra vez para obtener los recuerdos de tranquilidad que le ofrecía ese viejo muñeco de trapo.
- “Sí, mucho, aunque creo que conozco a esa niñita pequeñita y regordeta de algo.”, dijo la Princesa Chiqutina que siempre había destacado por ser muy lista antes de añadir: “¿Sabes lo que me gusta a mí Dragón Matías para quedarme dormida?”.
El Dragón Matías se quedó sorprendido de la respuesta de la Princesa Chiquitina y le pregunto con verdadera curiosidad:
- “La verdad es que pensé que tal vez unas canciones en el culete como a la niñita pequeñita y regordeta te ayudarían a dormir”, respondió el viejo Dragón Matías.
- “Naaaahhh, eso es para mi hermana. A mí me encanan los masajes en los piececillos”, dijo la Princesa Chiquitina mientras se reía por lo bajo con autentica malignidad.
El Dragón Matías sonrió complacido, la cogió con toda la ternura que profesaba siempre a los niños y la colocó con cuidado sobre él. La llevó despacio de nuevo a a su sitio debajo de la manta. La Princesa Chiquitina cerró los ojos y se dejó hacer. El Dragón Matías comenzó a hacerle suaves masajes en los pies mientras la Princesa Chiquitina se quedaba dormida abrazada a su Pepita con una sonrisa desdentada de oreja a oreja.

FIN.

domingo, septiembre 23, 2018

Bootstrapping o la simplificación de la complejidad

Cuando estás en la universidad te enseñan a diseñar sistemas desde cero. Diseñar un microprocesador por medio de dopaciones. Diseñar una PLA con su juego de instrucciones usando puertas lógicas. Diseñar un lenguaje de programación usando autómatas en forma de reconocedores léxicos y sintácticos. Diseñar una red utilizando conexiones y protocolos de red de todo tipo. Diseñar un sistema operativo desde cero añadiendo la gestión de procesos, la gestión de memoria, la gestión de los recursos. 

Figura 1: Bootstrapping o la simplificación de la complejidad

Recuerdo todas esas enseñanzas con mucho cariño. Recuerdo las estrategias algorítmicas para resolución de diversos problemas. Cuando utilizar Dijsktra. Cuando usar una estrategia de Back-tracking, cuando un Divide and Conquer o una solución basada en una recta de barrido. Me ayudaron a tener herramientas en mi caja de destornilladores y martillos para saber que podía probar cosas distintas en cada problema.

De muchas de ellas os he hablado a lo largo de los muchos artículos que le he dedicado a mi relación con la universidad, pero hoy os quiero hablar de una que me ayuda día a día en mi trabajo y que aprendí en la clase de Sistemas Operativos. Se llama Bootstrap o Bootstrapping

Figura 2: Definiciones de Bootstrap

Cuando estudiaba en la universidad cómo se construye un sistema operativo desde cero la pregunta es.. ¿cómo construyo software para un sistema que aún no existe porque está siendo construido? ¿Cómo hago una herramienta de gestión de ficheros gráfico para un sistema operativo que aún no existe? Pues no hay magia. Se trata de hacer Bootstrap, una forma de simplificar la explicación de lo complejo que es sustituir un sistema operativo que funciona por otro.

Si tienes que construir un sistema operativo completo deberás comenzar a hacer un programa que sea capaz de gestionar la memoria, los procesos y la entrada salida. Una vez que tienes los elementos de la gestión mínima, ya puedes comenzar a construir las herramientas mínimas para construir software en él. Construirte tu gestión de ficheros y tu primer compilador. Y una vez que tengas tu compilador ya puedes construir software usando el propio sistema operativo que te estas creando.

No hay magia, solo trabajo y orden. Programar lo mínimo y necesario para que puedas construir software con el sistema operativo que estás desarrollando y completarlo. Es ta sencillo y evidente. Es tan de cómo debe ser todo lo que debe crecer. Construir el círculo virtuoso de éxito de un sistema operativo haciendo varias fases de trabajo en las que priorizas en cada una de ellas lo mínimo que necesitas para que la segunda ola se aproveche de lo construido en la primera versión. En la primera ola de trabajo.

Esta es la estrategia que se debe seguir en cualquier nuevo proyecto que se quiera lanzar en una empresa. Hacer una estrategia de Bootstrapping, poniendo los recursos iniciales necesarios para cumplir con los objetivos de la primera versión, y que estos sirvan para alimentar la segunda versión del proyecto/producto para acelerar su crecimiento.

Yo usé esa estrategia cuando me puse a trabajar con ElevenPaths. No quise muchos más recursos que los que pude manejar. No quise hacer más de lo que pudiera hacer bien y que me pudiera servir para la siguiente evolución. Hice Bootstrapping con ese proyecto.

Trabajar de esa forma te ayuda a priorizar muy mucho. A diferenciar siempre entre qué es lo más importante y necesario y qué es lo que es accesorio en esta fase. Qué es lo que debo tener y qué es lo que es "Nice to have". Algo que una y otra vez comparto con mis compañeros a la hora de hacer el roadmap de los proyectos y decidir en qué invertimos nuestros recursos. Tengo mi regla de las tres "P" repetida una y otra vez con ellos.

Desde luego, construir un sistema operativo completo es complejo. Son muchos los detalles, y herramientas que tiene tu viejo sistema operativo desde el que estás programando el core del nuevo sistema operativo que siempre van a pesar en contra en una posible comparación. Por eso se debe lidiar entre hacer unas cosas con el viejo sistema operativo donde aún puedes programar cosas para el nuevo, y entre hacer cosas desde el nuevo sistema operativo aprovechando las ventajas que tenga el nuevo sistema operativo que has diseñado.  Hay que balancear la transición. Nunca hay que olvidar esto.

Estas enseñanzas las tengo siempre dentro de mí cuando hago algo, y las he usado años después cuando tuve que diseñar la estrategia de la margarita en la 4ª Plataforma para implantar la visión Data-Centric en Telefónica. No se puede cambiar de un día para otro la forma en la que se gestionan los datos y se desarrollan las aplicaciones. Hay que hacer Bootstrapping. Hay que ver cómo se pueden ir diseñando las funciones mínimas del nuevo "sistema operativo" para ir desarrollando las primeras herramientas y poder ir migrando.

Figura 3: La estrategia de la margarita para hacer Bootstrapping con los datos

Cuando diseñas un nuevo proyecto para una empresa que lleva años funcionando no puedes pensar que vas a tener un folio en blanco para ti. Siempre va a haber algo que ya está funcionando y que hay que modificar, cambiar o reemplazar sin que deje de dar servicio. Hay que ver cómo haces el cambio teniendo en cuenta que lo que estás haciendo siempre va a ser más pequeño y sin todas las herramientas que probablemente haya ya en el viejo sistema operativo. No va a ser fácil. Y no lo hagas.

Pensar en hacer un proyecto desde cero siempre es fácil si estás en una página en blanco y no hay nada ya. Pero si estás en una empresa con vida, pasado, clientes y servicios, vas a tener que aprender a hacer Bootstrapping constantemente. A ver qué es lo importante al principio y ver cómo vas decidiendo qué haces en cada sistema operativo (el viejo y el nuevo) hasta que acabe implantado el nuevo sistema operativo por las ventajas que ofrece.

Saludos Malignos!

sábado, septiembre 22, 2018

Agenda de eventos, conferencias y cursos del 24 al 30 de Septiembre @elevenpaths @luca_d3 @0xWord @telefonica

Ya se nos va el mes nueve del año. Quedan solo los días de la última semana, y que por supuesto contará con actividades para mantener la cabeza en forma. No solo hay que hacer algo de deporte todos los días para cuidarse un poco, hay que hacer deporte mental leyendo, estudiando o aprendiendo en cursos, charlas y conferencias, para mantener la cabeza en forma. Estas son las citas que yo tengo en el radar para traeros.

Figura 1: Agenda de eventos, conferencias y cursos del 24 al 30 de Septiembre

Y antes de que me olvide, el evento de LUCA Innovation Day 2018: Science without fiction está casi a reventar, así que, si quieres venir, no dejes pasar un minuto más para hacer el registro y reservar tu plaza. Tampoco te olvides de comprar mi libro de Pentesting con FOCA 2ª Edición para estudiar mucho, mucho de seguridad.

25-Sept: Jornadas de la Armada [Madrid][*]
El martes que viene tendrán lugar las Jornadas Tecnológicas dentro de la Semana de la Armada que se suele hacer por estas fechas los últimos años. Yo estoy invitado a dar una charla a las 09:45 para hablar un poco de tecnologías de ciberseguriad, así que estaré por allí. No sé si el registro es abierto o no al público, pero toda la información está online.
Figura 2: Jornadas Tecnológicas de la Armada

25-Sept: Data-Driven Business Transformation [London]
El mismo día, pero en Londres, nuestros compañeros de LUCA D3 estarán en una jornada de Data Leaders centrada en el tema que veis en la web: Data-Driven Business Transformation. Una interesante oportunidad de ver de primera mano cómo se pueden utilizar los datos en los negocios. Más información en la web.
Figura 3: Data Driven Business Transformation en Londres

26-Sept: II Congreso Industria Conectada 4.0 [Madrid]
Será la II Edición, y desde Telefónica tendremos presencia en las áreas de IoT, BigData, Ciberseguridad y Transformación Digital, así que si quieres ver cuáles son las tendencias y cómo están evolucionando las empresas más eficaces, tienes una jornada dedicada solo a esto. En la web del II Congreso de Industria Conectada 4.0 tienes toda la información. 
Figura 4: II Congreso de Industria Conectada 4.0

26-Sept: SEDIAN Day Seguridad Digital en Andalucía [Sevilla] 
El mismo miércoles, pero en Sevilla, tendrá lugar una jornada dedicada a la Seguridad de las tecnologías digitales. En ella participará nuestra compañera Yaiza Rubio que hablará de tendencias y ataques en las empresas y cómo debemos afrontar estas nuevas amenazas. Toda la información en la web de las jornadas.
Figura 5: SEDIAN Day en Sevilla

26-Sept: Curso Online Auditorías Móviles [Online]
A lo lardo de todo el día 26 de Septiembre dará comienzo la nueva edición del Curso Online de Auditorías Móviles de nuestros compañeros de The Security Sentinel. Una formación de 250 horas para conocer cómo se audita la seguridad de las aplicaciones y dispositivos móviles, así como se aprende a realizar informes forenses. Como complemento de la formación se entrega el libro de 0xWord que escribí yo junto con algunos compañeros dedicado al Hacking de iOS: iPhone & iPad [2ª Edición] que explica muchas de estas técnicas centradas en el mundo iOS. 
Figura 6: Curso Online de Auditorías Móviles

26 y 27- Sept: Jornadas de Smart Tourism en la UPV [Gandía]
El día 26, primer día de este evento, participarán nuestros compañeros de LUCA hablando de cómo hemos construido la solución LUCA Tourism para dar soluciones Data-Driven a los procesos de gestión del turismo de manera inteligente. Una sesión que formará parte dentro de una agenda mucho más amplia que puedes ver en la web del congreso.
Figura 7: Smart-Tourism en Gandía
Y esto es lo más importante en lo que participamos esta última semana. Esperamos que sea de vuestro interés alguna acción y que nos veamos por ahí.

Saludos Malignos!