sábado, enero 18, 2020

Agenda de la semana que viene: Supernovas, Despistaos, Hacking con Python, Piratas, Educación y Datos

La semana que viene está bastante repleta de actividades, yo voy a estar en un par de cosas en las que me he dejado liar, entre otras el 2ª Congreso Sociedad del Aprendizaje en Extremadura, en el que voy a estar junto a Jorge Luego, Miriam Fernández, Dani Marco y Krespo de los Despistaos, y un montón de buenos amigos para hablar de educación, aprendizaje y esas cosas.

Figura 1: Agenda de la semana que viene: Supernovas,
Despistaos, Hacking con Python, Piratas, Educación y Datos

Pero dejadme que os desgrane la agenda completa día a día, que tenemos muchas cosas y mejor verlas día a día. Estas son las que tengo controladas para estos cinco días que vienen por delante. Como veréis, no tengo actividades en el calendario ni para el lunes, ni para el miércoles, y acaba la lista con el concierto de Despistaos el sábado en Las Palmas de Gran Canaria.

Martes, 21 de Enero de 2020
En The Security Sentinel da comienzo el Curso Online de Seguridad en Redes. Tiene una duración de 200 horas que puedes realizar online, y donde además llevas como complemento de la formación el libro de Infraestructura Críticas y Sistemas Industriales: Seguridad & Hacking de nuestra editorial de 0xWord. Tienes toda la información en la web del curso.
Figura 2: Curso Online de Seguridad en Redes en The Security Sentinel

[Madrid] [Online] Supernovas, mujeres y ciencia ficción [G]
En el Espacio de la Fundación Telefónica y a través de Internet, dedicamos la primera edición del ciclo "Hay vida en martes" a iluminar la presencia, historia y representación de las mujeres en la Ciencia Ficción. Para ello contaremos con dos especialistas fundamentales en la materia como son Elisa McCausland, periodista, crítica e investigadora, y Diego Salgado, crítico de cine. 
Figura 3: Supernovas, mujeres y ciencia ficción
Ambos son autores del ensayo imprescindible “Supernovas. Una historia feminista de la ciencia ficción audiovisual” (errata naturae, 2019). En este viaje estelar, le acompañarán Jordi Costa, crítico de cine, Carmen Méndez García, experta en literatura contemporánea, y la periodista Laura Barrachina quien tomará los mandos para guiarnos a lo largo de la conversación.
Jueves, 23 de Enero de 2020

Como ya os he dicho, Jorge Luengo nos ha liado a todos para que estemos allí con él en el 2º Congreso Sociedad Aprendizaje en Extremadura - será en Mérida - y estarán Miriam Fernandez, Dani Marco, Krespo, Ferando Romay, y una larga lista de conferenciantes. Yo estaré el día 23 por la mañana, que por la tarde tengo que estar ya de vuelta para las guerras del viernes 24.  El congreso continuará hasta el viernes.
Figura 4: 2º Congreso Sociedad del Aprendizaje de Extremadura

[Madrid] Oportunidades y retos de los negocios basados en el dato
ICADE Business School organiza el próximo 23 de enero un evento donde participarán varios profesionales de compañías líderes en el ámbito del Big Data. Nuestro compañero el Dr. Richard Benjamins, Data & AI Ambassador de Telefónica, abrirá el evento con la Master Class "Big Data e IA - ¿bendición o maldición?". También se realizará una mesa redonda con los responsables de datos de grandes empresas de diferentes sectores como Deloitte y Repsol.
Figura 5: Oportunidades y retos de los negocios basados en el dato

[Online] Curso Hacking con Python de The Security Sentinel
Este curso te proporciona los conocimientos necesarios a nivel conceptual y práctico para que puedas programar en Python para el desarrollo de Auditorías de Pentesting basadas en este lenguaje. Es un curso de 90 horas de duración sobre programación en Python pero orientado a personas que quieran enfocar su carrera profesional como pentesters. No es necesario tener conocimientos previos del lenguaje ni de programación.
Figura 6: Curso Online de Hacking con Python
Con este curso, podrás realizar, sin problemas, auditorías de seguridad con su correspondiente informe. Este curso se ha definido en un 75% de práctica y 25 % de teoría, lo que te facilitará mucho el aprendizaje y el aprovechamiento máximo de conocimientos. Tienes toda la info en la web del curso. Además, todos los alumnos recibirán el libro de Hacking con Python de 0xWord.

Figura 7: Libro de Hacking con Python

[Madrid] 48th World Continuous Auditing and Reporting Symposium
Este evento único organizado por la AECA (Asociación Española de Contabilidad y Administración de Empresas) y el Banco de España reúne a expertos para discutir la aplicación y la práctica de la Inteligencia Artificial a los procesos de auditoría y reporte. En el 48th World Continuous Auditing and Reporting Symposium, los expertos discutirán los retos que deben ser superados en un entorno empresarial tan cambiante para mantenerse al día. En él participarán nuestros compañeros del equipo de LUCA y durará hasta el viernes 24.
Figura 8: Continuous Auditing and Reporting Symposium

[Madrid] [Online] Todopoderosos: Piratas [G]
Y para terminar el largo día lleno de actividades, TodoPoderosos: Piratas, con Arturo González-Campos, Javier Cansado, Juan Gómez-Jurado y Rodrigo Cortes dispuestos a darnos un programa con un tema que en sus manos da mucho más que juego.... 
Figura 9: TodoPoderosos "Piratas"

Viernes, 24 de Enero de 2020

[Santander] Sh3llCON
Los días 24 y 25 de Enero tendrá lugar la edición 2020 de Sh3llCON, el congreso de hacking en Santander que ya se ha hecho un hueco en la agenda de las conferencias de hacking. Allí participaremos desde 0xWord apoyando a la edición. Habrá un stand en el que podrás comprar los últimos libros que hemos publicado, como el de Empire: Hacking Avanzado en el Red Team
Figura 10: Sh3llCON 2020 "The Resurrection"
Entre los ponentes se encuentra nuestro compañero Pablo González, o Martina Matarí, de ElevenPaths, pero también se encuentra Juan Garrido "silverhack", Marc Rivero "Seifreed", Juan Antonio Calles de Flu-Project, y un largo elenco de ponentes.
Figura 11: Contactar con Sh3llCON
Además, si quieres contactar con Sh3llCON, han abierto un buzón público en MyPublicInbox para que lo puedas usar para ponerte en contacto con ellos.
[Tenerife y Las Palmas] Despistaos: "Estamos Enteros"
Y para acabar el fin de semana con buena música, Los Despistaos comienzan su Gira 2020 con los primeros conciertos en Santa Cruz de Tenerife y Las Palmas de Gran Canaria, así que si quieres ver a Dani Marco cantando, a José Krespo tocando la guitarrita, a Lazaro con la batería y a Pablo con el bajo en alguno de estos conciertos, puedes comprar las entradas en este enlace para el día 24 en Tenerife y en este otro para el día 25 en Las Palmas.

Y esto es todo lo que tengo en mi agenda para esta semana que entra. Como veis, a partir del jueves es cuando más actividades tenemos, así que como no es posible hacer todas vas a tener que elegir si te interesan dos.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

viernes, enero 17, 2020

De elfos, magos, arqueros y los Walking Dead

Cuando tienes 24 años y montas una empresa te sientes a oscuras. En mi corta experiencia laboral en el mundo de la empresa que había visto hasta ese momento tras haber empezado a moverme en el mundo de la tecnología con 21 años no había podido abrir mucho mapa. Solo en una esquinita del mapa había dado unos paseos por el gran mapa de ese mundo en el que acaba de caer y había conocido solo algunos de los recursos y algunos de los personajes que poblarían mi vida entonces.

Figura 1: De elfos, magos, arqueros y los Walking Dead

Y esa era la sensación. Te sientes a oscuras. No ves el mapa completo. Está todo oscuro. Muy oscuro. Y cada paso, cada decisión, cada apuesta, cada nueva iniciativa que lanzas en tu empresa está llena de incertidumbre. Está llena de rutas que pasan, ineludiblemente, por partes del mapa que no ves. Por partes oscuras. Partes donde puede haber monstruos peligrosos. Puedes encontrarte al monstruo de la ruina, del impago, de la estafa, del fracaso, del error, o simplemente el monstruo del accidente. Da miedo. Mucho miedo. Porque tu mapa está a oscuras. No ves lo que te puedes topar.

Es una sensación muy difícil de explicar, pero yo suelo usar una metáfora algunas veces que es muy sencilla. Se trata de estos juegos de palabras tipo ahorcado, donde tienes solo unas letras y una pregunta qué responder. Por ejemplo la Ruleta de la Fortuna, donde se pide el nombre de una película. El nombre de un actor. O un equipo de fútbol. Ves dos o tres letras de una palabra de seis y tienes que responder. 

Seguro que has visto muchos vídeos de esto. Y seguro que has jugado alguna vez. Y te habrás dado cuenta cómo de importante es aquello que no ves. Luego dan la respuesta, y dices... "¡Qué fácil era! ¡Si estaba delante!". Sí, pero cuando te faltaban unas letras no era tan fácil, ¿verdad? Solo con un par de letras que te falten ya el mundo cambia. Ya tomar una decisión. Tomar un riesgo. Tomar una iniciativa que puede marcar el devenir de tus actos, de tu vida, de futuro profesional, tal vez hace que te tiemblen las canillas.

Emprender. Innovar. Transformar. Son palabras que la gente usa con alegría y emoción. Suenan fantásticas y apasionantes. Pero son mucho más terroríficas para la gente de lo que puedan parecer. Sí. Lo son. Si con ellas va tu carrera profesional, tu dinero, tu futuro, tu puesto de trabajo actual, tu seguridad. Y es normal. Cuando emprendes, innovas o transformas algo buscando un nuevo camino, siempre faltan letras. Faltan muchas, de hecho, y da miedo. Aunque mucha gente diga que no le da miedo, lo cierto es que da miedo.

En todas las situaciones falta mapa. Hay oscuridad. Vas a tener que pasar por caminos que no ves, donde puede haber enemigos, donde pueden esconderse los monstruos al acecho, detrás de una decisión de girar a la izquierda. Detrás de una decisión de girar a la derecha. Detrás de la toma de cualquier decisión.

¿Y cómo se supera ese miedo?

Con 44 años innovar, emprender, transformar cosas...  sigue dando vértigo. El miedo sigue estando en la boca del estómago. No se va. Pero se controla mejor. Y más vale que no se vaya, porque sin miedo puedes ser un temerario. Así que revisa si sigues sintiendo ese miedo en la boca del estómago cada cierto tiempo, y luego revisa a ver si te siguen funcionando las piernas y los brazos. Si sientes ese miedo, pero puedes moverte estás en buen estado. No eres un temerario, pero el miedo no te paraliza.

Con 24 años el mapa era muy negro. Pero también los riesgos podían ser menores al principio. Después, según vas pasando mapas y vas desarrollando tácticas de exploración y ejecución de misiones en nuevas pantallas, vas consiguiendo recursos, equipo, y posesiones que tienes que defender. El riesgo es mayor.

Con 44, si sigues emprendiendo, innovando o transformando las cosas, el número de niveles que te has pasado te ha entrenado a vivir con ese miedo en la boca del estomago, y a comenzar un mapa con habilidades extras. Muchos de los escenarios que ya has pasado en niveles anteriores te permiten ver "algo" más de mapa. Te permiten intuir dónde están los enemigos. Te permite preparar las batallas en las zonas del mapa y en los momentos más apropiados. Pero sigue habiendo mucha zona oscura. Mucha zona negra.

Sí, es verdad que hay gente vive en estos niveles andando por los mapas de otra forma. Son los que no tienen el poder de innovar, emprender o transformar. Son los que no pueden cruzar zonas oscuras. Son los que yo llamo "Walking Dead",  que van solo por las zonas del mapa que se ven. Por las que ya no hay monstruos, que han sido limpiadas por algún espadachín, por las que no hay incertidumbre. Su problema es que nunca llegan a zonas del mapa más allá de lo que se ve, y esas zonas que se ven, se llenan de muchos, muchísimos, muchísisisismos "Walking Dead" que quieren ocupar ese mismo espacio que se ve.

Yo no soy un "Walking Dead". Lo tengo clarísimo. Lo mío va de sentir eso en el estómago. De seguir con mi Mago avanzando niveles. Ahora toca ser un Mago nivel 44 con ganas de explorar nuevos mapas y eludir a los monstruos inmortales en cada nuevo nivel. Pues dale al Play. Vamos a por el mapa. Con mi comunidad de Elfos, Duendes, Arqueros y Catapultas que hemos ido juntándonos a lo largo de años y niveles anteriores. Eso sí, las capacidades de abrir mapa y pasar por zonas oscuras son obligatorias, porque.... ¿qué hay más divertido que pasar de nivel y llegar a un nuevo mapa que explorar?

Saludos Malignos!

jueves, enero 16, 2020

Los años locos de la seguridad informática: De la camiseta prohibida al virus de una sola línea de código

Las líneas de código (es decir, los programas de computadores o el software) perfilan el mundo actual, de esto no hay duda. Desde un microondas, relojes, teléfonos, pasando por diferentes vehículos que usamos a diario como aviones, coches, etcétera, hasta complejas instalaciones como por ejemplo las centrales nucleares, hospitales (y su instrumentación) o fábricas, dependen de un programa de un ordenador. Y toda esta, digamos, dependencia y expansión, empezó justo después de la invención del primer microprocesador, el Intel 4004 en 1971, y desde entonces el software ha ido ocupando un sitio destacado y fundamental dentro de la tecnología y a su vez, de la sociedad.

Figura 1: Los años locos de la seguridad informática: 
De la camiseta prohibida al virus de una sola línea de código

Esto no quiere decir que antes no hubiera programas (de hecho, en este artículo aparecen algunos anteriores a esa fecha) ya que el primer, digamos “código”, se creó en 1715 … ahí lo dejamos ;) . En nuestro libro “Microhistorias: anécdotas y curiosidades de la historia de la Informática (y los hackers)” aparecen más historias como estas, tanto de ciberseguridad como de la informática y hackers en general.

Figura 2: Libro de "Microhistorias: anécdotas y curiosidades
de la historia de la informática (y los hackers)"

En este artículo hemos seleccionado algunos fragmentos de código que, de alguna u otra manera, han tenido impacto en el mundo de la seguridad informática y casi podríamos decir que en la sociedad. Desde instrucciones erróneas en vehículos espaciales que había que hacer un “bypass” (como el caso del Apolo 14) pasando por el curioso caso de la camiseta prohibida y el código de cifrado RSA, harán acto de presencia en este texto. Vamos a verlos un poco más en profundidad.

Sobrecarga (overflow) y engaño (deception) en el software del Apolo 11 y 14

En ambos viajes espaciales, un programa de ordenador estuvo a punto de echar al traste toda la misión. No fueron un problema técnico del vehículo, sino una mala interpretación de una señal en un caso y un error de programación o de interpretación de señales en el otro.

En el caso de la misión Apolo 11, a pocos minutos de aterrizar en la Luna, Buzz Aldrin dejó activo un radar del vehículo LEM que desbordó de información (overflow) el ordenador, activando las alarmas 1201 y 1202 que casi terminan con la misión. Menos mal que Margaret Hamilton y su equipo tenían previsto este contratiempo (esas alarmas indicaban justamente este problema de sobrecarga) y lo tenían bajo control.

Por otro lado, en el viaje del Apolo 14, también hubo un problema, esta vez relacionado con una señal de abortar que no debía de estar activa. En este caso fue Don Eyles, uno de los miembros del equipo de Margaret quien lo solucionó realizando un “bypass” o engañando al sistema. Tienes toda la historia al detalle en este enlace que publicamos.

Figura 3: Sección del código del fichero EXECUTIVE.AGC donde aparece la activación de la alarma 1202

En la imagen de la Figura 3 se puede apreciar la porción de código que activaba la alarma 1202 del Apolo 11 (el código fuente al completo está en GitHub). Una explicación a fondo de esta alarma y su funcionamiento la puedes encontrar en este enlace.

El gusano de Morris, el primer ataque a la red Internet

El 2 de noviembre de 1988, un joven estadounidense de 23 años, llamados Robert Tappan Morris, creó el primer malware de tipo gusano (programado en Lenguaje C) que provocó, según él, por accidente, el mayor ataque a la red Internet de la época. El 10% de los ordenadores conectados, unos 6.000 la mayoría servidores, provocando el mayor ataque tipo DoS de la historia (hasta ese momento).

El programa explotaba un agujero de seguridad en el modo debug del clásico programa de Unix llamado sendmail (el cual se ejecuta en el sistema operativo a la espera de recibir conexiones para recibir emails) y “bug” en el daemon del comando/protocolo finger, fingerd (encargado de gestionar dichas peticiones). Antes de infectar otro ordenador, el gusano comprobaba si estaba presente. En caso afirmativo, el gusano lo volvía a infectar una de cada siete veces (esto lo hacía por si acaso había otro gusano Morris modificado en ejecución y así sustituirlo).

Figura 4: Parte del código fuente del gusano encargado de probar
diferentes contraseñas por defecto para acceder a los servidores

Esto provocó que muchos usuarios se infectaran demasiadas veces por el malware, llegando a colapsar la máquina, dejando de funcionar. Hoy día Robert Morris es profesor de Informática en el MIT. En este enlace puedes ver el código fuente completo y en este otro un análisis en profundidad del mismo.

El virus de una sola línea (bomba fork)

La siguiente línea de código, en Bash, era capaz de bloquear o colgar un ordenador en versiones antiguas de Unix y muy posiblemente en algunos actuales con GNU/Linux, así que ten cuidado en ejecutarlo:
:(){ :|:& };:

bomb(){

bomb | bomb &
}
bomb
Figura 5: Bomba fork en Bash en una sóla línea Bash y abajo en formato más legible

Una bomba fork es un tipo de ataque cuyo objetivo es provocar una denegación de servicio, creando otros procesos (en concreto, a llamadas del sistema o system calls) de forma recursiva, colapsando la memoria del ordenador. Lo que hace especial este ataque, además de su extrema sencillez, es que demuestra la gran debilidad de los complejos informáticos actuales.

La bomba fork de una sola línea es una obra maestra de la programación ofuscada, aquí tienes una brevísima descripción de su funcionamiento:
1. “:()” significa que está definiendo una función llamada “:” 
2. “{:|: &}” significa ejecutar la función “:” y enviar su salida a la función ”:” de nuevo y ejecutarla en segundo plano. 
3. Dentro de la sección del punto 2 ocurre lo siguiente:
• “:” carga otra copia de la función “:” en memoria 
• “|” y hace un “pipe” de su salida hacia … 
• “:” otra copia de la función “:” la cual se tiene que cargar en memoria 
• Por lo tanto, “:|:” carga dos copias de ':' cada vez que se llama a “:” 
• “&” mata a las funciones, si la primera “:” es destruida, todas las funciones que ya se han iniciada no serán eliminadas. 
• “}” fin desde el “:” inicial
4. “;” separador de los comandos 
5. “:” ejecuta la función por primera vez
El código del cifrado RSA el Perl que se prohibió exportar … hasta en camisetas

El Gobierno de los Estados Unidos, durante un periodo de tiempo, aplicó un tratamiento casi de armamento militar a cualquier tecnología relacionada con el cifrado de información. Hasta ese momento, toda esta tecnología que rodeaba a cualquier dispositivo era costoso de implementar y programar. Hasta que apareció el algoritmo RSA de cifrado (el que es uno de los bloques fundamentales de la criptografía actual)

Figura 6: Libro de Cifrado de las comunicaciones digitales:
De la cifra clásica a RSA (2ª Edición) de 0xWord.

Este algoritmo se podía escribir en cuatro simples líneas de Perl y cualquier empresa, o particular podía, desde ese momento, y de manera sencilla utilizar sistemas de cifrado de alta seguridad en cualquiera de sus programas, lo que permitía añadir capas de seguridad a todas las partes de los sistemas de seguridad.

Figura 7: Código Perl del algoritmo de cifrado RSA en 4 líneas de código

En ese momento no se podía exportar fuera del país este tipo de código por Internet, pero claro, ahora era lo suficiente pequeño como para poder meterlo, por ejemplo, en una camiseta. Y eso fue exactamente lo que pasó, la gente comenzó a imprimirlo en camisetas (las originales se han convertido en objetos de coleccionistas, si lográis encontrarla) y esta forma poder exportarlo y venderlo por todo el globo. En la camiseta aparece el siguiente texto:
“WARNING: This shirt is classified as a munition and may not be exported from the United States, or shown to a foreign national”
El problema es que estas camisetas también se prohibieron, e incluso hoy día es posible que te paren en alguna aduana estadounidense si la llevas puesta (aunque estas restricciones están técnicamente retiradas). Eso sí, siempre te lo puedes tatuar donde quieras

Figura 8: Parte delantera de la camiseta donde se aprecia el código en Perl y también el mensaje de prohibición

Este no fue el único caso, también podemos encontrar otro como el de DeCSS (cifrado de los DVD), el cual también se imprimió en una camiseta y fue incluso a juicio.

Y muchos más...

Hay muchos más programas interesantes relacionados con la ciberseguridad (que os contaremos siempre que os haya gustado este artículo) de los cuales, además de lo curioso y su valor histórico, podemos aprender mucho de ellos. Desde errores de programación trágicos (como el caso de Therac-25, que provocó la primera muerte “por código”) hasta malware clásico como por ejemplo Conficker, el gusano que infectó millones de ordenadores, entre muchos otros. Pero amigos, esas son otras Microhistorias … ;)

Happy Hacking Hackers!!!

Autores:

Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.

Rafael Troncoso (@tuxotron) es Senior Software Engineer en SAP Concur, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" además del blog CyberHades. Puedes contactar con Rafael Troncoso en MyPublicInbox.

miércoles, enero 15, 2020

MyPublicInbox: MILESTONE ZERO

Desde que lanzamos el 9 de Octubre del 2019 el proyecto MyPublicInbox, la plataforma no ha parado de crecer. Comenzamos unos pocos usuarios, y a día de hoy alcanzamos ya el número de 1.000 entre todos los que estamos en la plataforma, que está aún en fase de incubación, y en la que solo se puede tener un buzón si es por invitación de algún otro miembro, solicitando aprobación del perfil, o por invitación directa del equipo.

Figura 1: MyPublicInbox: MILESTONE ZERO

Y el número de mensajes y Tempos que se han ido generando e intercambiando no ha parado de crecer, superando ya el año pasado los 100.000 Tempos generados para enviar mensajes y comunicaciones entre los miembros de MyPublicInbox,  algo que nos habíamos marcado para finales de Enero. Un proyecto aún en fase muy temprana pero que está creciendo de manera constante, creciente y de forma saludable.

Algunos perfiles en MyPublicInbox

Esta semana habrá una nueva actualización de la plataforma, con la inclusión de nuevas características que os iré contando por aquí de forma periódica. Pero hoy solo quería traeros algunos de los perfiles que se han ido sumando a la plataforma, donde hay algunos muy curiosos. Está, como podéis ver, Antonio Salas, el famoso periodista y escritor de novelas tan populares como El Palestino o Los hombres que susurran a las máquinas, donde cuenta sus historias hablando con hackers, cibercriminales y hacktivistas, y donde tuve la suerte de ser entrevistado.

Figura 2: Contactar con Antonio Salas

También está también, Izanami Martínez, una emprendedora que a los 18 años ya tenía en Puerto de Santamaría su propio centro de yoga y pilates (La Esfera) y que luego montó Nonabox, un portal online donde los padres pueden adquirir todo lo que necesitan para sus bebés en paquetes más económicos que comprándolos en tiendas físicas, empresa que vendió en el año 2017 para crear después The Notox Life, un movimiento wellness que nos enseña a vivir según la ciencia y la lógica evolutiva para librarse de los pensamientos, emociones y alimentos tox que nos impiden alcanzar nuestra mejor versión. Izanami además es profesora del IE Business School.

Figura 3: Contactar con Izanami Martínez de The Notox Life

También hay humoristas como Jaime Gili, que puedes ver en La Chocita del Loro con alguno de sus espectáculos y con el que puedes contactar a través de su buzón público en la plataforma de MyPublicInbox.

Figura 4: Contactar con Jaime Gili

Como sabéis, la plataforma de MyPublicInbox está abierta para todas las personas que tengan una actividad profesional abierta al público en general o en Internet y quieren tener un canal disponible de acceso para cualquiera sin riesgo de soportar malware, spam, o mensajes no respetuosos con su tiempo, así que hay todo tipo de perfiles. Entre los actores, está Eva Marciel, actriz española que ha participado en películas como "Mi Gitana", y con la que puedes contactar a través de su buzón.

Figura 5: Contactar con Eva Marciel

También se han abierto algunos buzones para medios de comunicación, blogs, podcasts o conferencias, que quieren tener un buzón abierto para todo el mundo. Por ejemplo, la conferencia Hackr0n que va a tener lugar ahora en las Islas Canarias ha abierto su propio espacio de comunicación responsable.

Figura 6: Contactar con Hackron Congreso de Ciberseguridad

También hay referentes nacionales en el mundo de la empresa, la tecnología o los movimientos de cambio. Entre ellos se encuentra Idoia Mateo, una autentica referente en el área de Ciberseguridad - está en el equipo de ciberseguridad del Banco Santander y el Consejo Asesor de Ciberseguridad de Telefónica -, pero también en el ámbito de los movimientos para atraer más talento femenino al mundo STEM, y es una embajadora de las Women In Technology.

Figura 7: Contactar con Idoia Mateo

Y hablando de mujeres referentes, Miriam Fernández, cantante, actriz, conferenciante, deportista, y un ejemplo para todos de superación, fortaleza, energía. Yo le he puesto a mis hijas sus charlas de TED para que aprendan de ella.

Figura 8: Contactar con Miriam Fernández

Conferenciante, humorista, presentador, monologista, escritor, músico. Vamos comunicador con humor en todas sus facetas. Dani de la Camara. Te lo puedes encontrar haciendo un monólogo en el teatro, un programa en Televisión o en un libro. También está disponible en la plataforma.

Figura 9: Contactar con Dani de la Cámara

También, entre la lista de profesionales relevantes, tiene buzón Chema Fernández, Chief Digital Officer de El Corte Inglés, que es uno de los mejores en el mundo digital en este país y con el que da gusto debatir sobre el futuro del negocio digital siempre que lo pillo por banda.

Figura 10: Contactar con Chema Fernández, CDO de El Corte Inglés

Y para terminar esta corta lista de todos los perfiles que se han ido añadiendo, os dejo un par de ellos que tienen que ver con la innovación y el apoyo a los proyectos Open Source. El primero de ellos el podcast de Más allá de la innovación, al que puedes contactar si quieres presentarle alguna idea de negocio o innovación que pueda ser de interés para el podcast.

Figura 11: Contactar con el Podcast "Más allá de la Innovación"

Y el último, el de Philippe Lardy, organizador de Open Expo con el que he tenido la suerte de colaborar en muchas ediciones y compartir una bonita historia en la que competimos por un peluche hace tiempo.... pero eso es otra historia.

Figura 12: Contactar con Philippe Lardy

Como podéis ver, el proyecto crece poco a poco de forma sostenible y segura. En breve os contaré qué más cosas está metiendo en el proyecto la CEO de MyPublicInbox, Beatriz Cerrolaza, y periódicamente os traeré algunas referencias por si fueran de interés. Puedes ver más perfiles públicos en la zona de "Perfiles Relevantes" de la web.

Saludos Malignos!

Más Referencias:


Autor: Chema Alonso (Contactar con Chema Alonso)

martes, enero 14, 2020

Primeros cursos, charlas y conferencias: Ilustración, Hacking, Democracia, Derechos y Ciberseguridad

Ya hemos comenzado el mes de Enero, así que ya tenemos un primer calendario de actividades que merece la pena que tengáis en cuenta, ya que comienzan cursos, hay conferencias interesantes, y hay charlas que tal vez os encajen.  Os paso algunas de ellas para que metáis en la agenda aquellas que mejor os vengan.

Figura 1: Primeros cursos, charlas y conferencias:
Ilustración, Hacking, Democracia, Derechos y Ciberseguridad

En primer lugar hay que hablar de hoy mismo día 14 de Enero, si eres un amante de los cómics y la ilustración, ya que recibimos en nuestro Espacio Fundación Telefónica de Madrid a Stéphane Levallois, uno de los grandes creadores de fantasía y ciencia ficción del siglo XXI. Gracias a un portentoso talento para el dibujo, y una fértil imaginación, este autor francés se mueve con la misma comodidad en el campo del cómic, del cine o el de los videojuegos.
Para hablar de su trabajo y su proceso creativo, estarán con el Fabrice Douar responsable de la colección de cómics del Museo del Louvre, Virginie Bourdin, directora de arte y especialista en efectos visuales y Asier Mensuro, historiador especialista en cómics y cine, y gran amante de la ciencia ficción. Yo voy a intentar pasarme, si me da la vida, para poder disfrutar un poco de la tertulia.

Luego, el día 16 de Enero, Susana Malcorra (profesora y excanciller argentina), José María Lasalle (profesor y ex-Secretario de Estado de la Sociedad de la Información y Agenda Digital) y Christoph Steck (director de Políticas Públicas e Internet, Telefónica) responderán estas y otras preguntas en el evento "Democracia y Derechos Digitales", moderados por Natalia Chientaroli.

Figura 3: Democracia y Derechos Digitales

¿Cómo está impactando la tecnología en la democracia y en la protección efectiva de los derechos individuales? ¿Es necesario revisar los marcos legislativos y de derechos para adecuarlos a la era digital? ¿Deben protegerse de la misma forma los derechos en el entorno online y en el offline? Un evento que merece la pena.

También este día comienza la formación online más larga y más completa de de The Security Sentinel: El Curso Online de Hacking Ético Experto,  que con 240 horas de formación prepara a los alumnos para comenzar a trabajar de forma profesional en el mundo del pentesting y el Ethical Hacking. Es una buena opción para hacer a tu ritmo y desde tu casa durante varios meses si estás trabajando ya en algo y lo que deseas es explorar un cambio al mundo de la seguridad informática.

Figura 4: Curso de Hacking Ético nivel Experto Online
Tienes todos los contenidos, los módulos y la metodología en la web del curso. Además, todos los alumnos recibirán gratis el libro de Pentesting con PowerShell que escribió nuestro compañero Pablo González en 0xWord.
Figura 5: Libro de Pentesting con PowerShell en 0xWord

La Ciudad de Melilla acoge los días 17 y 18 de Enero en el Hotel Tryp Melilla Puerto (explanada de San Lorenzo, s/n, 52004) el Evento de Ciberdefensa y educación en Ciberseguridad dentro del Programa Integral Melilla SecureTIC, con el objetivo de despertar, impulsar y concienciar acerca de los riesgos, las nuevas tecnologías y la seguridad en las mismas. 
En él, participará nuestro compañero de ElevenPaths, Andrés David Naranjo Venegas, que hará las labores de conferenciante y de maestro de ceremonias en el Hackathon que tendrá lugar allí.

Por último, yo el viernes 17 voy a intentar hacer una visita a un grupo de #MujeresHacker en Adalab Madrid y estar con ellas un poco de tiempo antes de que se acabe la semana para charlar un rato de tecnología y esas cosas de hackers.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

lunes, enero 13, 2020

BLECTF: Una herramienta para aprender BLE (Bluetooth Low-Energy) con retos CTF (Capture The Flag)

En las pasadas, pero aún recientes, vacaciones navideñas, un viejo conocido me comentó que estuvo viendo mi taller de Cybercamp 2019 sobre Auditoría y Hacking sobre BLE. Esta persona era Javi Cavero y me enseñó una herramienta que estuvo en BlackHat 2018 llamada BLECTF de la que además ha publicado material. Entre ese material, tienes un Write-Up bastante interesante sobre la instalación de BLECTF sobre una placa ESP32. Además, ha ido dando solución a cada rato a los temas y dudas que han surgido, pero si lo que si quieres aprender con esta herramienta no mires su solución de primeras. Intenta primero por tu cuenta, prueba y, después de mucho probar, entontces ya puedes mirar el write-up.

Figura 1: BLECTF: Una herramienta para aprender BLE (Bluetooth Low-Energy)
con retos CTF (Capture The Flag)

La herramienta BLECTF fue desarrollada por Ryan Holeman y tiene como propósito enseñar los conceptos “core” de BLE y las interacciones entre un cliente y el servidor. Como se indica en el Github de la herramienta, uno puede divertirse mientras aprende los conceptos y las interacciones con BLE.

Figura 2: BLE Capture the Flag en GitHub

Para poder “flashear” el CTF se necesita un microcontrolador esp32. Es recomendable hacer uso de un entorno GNU/Linux, por ejemplo, nuestro querido Kali Linux que tanto bien nos hace a los pentesters. Hay una guía de instalación muy sencilla de seguir para llevar a cabo la instalación y puesta en funcionamiento en este enlace.

Figura 3: Pentesting con Kali Linux 2ª Edición.

BLECTF hará las funciones de dispositivo IoT que dispone de BLE para interactuar con él. Por otro lado, para realizar el CTF necesitaremos de un dispositivo Bluetooth para poder hacer de cliente y conectarnos contra la placa esp32 y poder interactuar con ella. Realmente, el dispositivo Bluetooth no es importante, ya que podremos hacerlo con la gran mayoría.

En estos repositorios se muestran diferentes herramientas que se pueden utilizar, desde gatttol hasta bettercap. Nosotros podemos jugar con nuestro querido HomePwn, tal y como se muestra en el artículo de una de las demos que se realizaba en BlackHat Europe 2019.


Figura 4: HomePWN Replay Attack


Volviendo al hilo del artículo, Javi hizo que me picara el gusanillo. Tengo diferente tipo de hardware y de placas, pero no disponía de un microcontrolador esp32. Por esta razón decidí comprar una y ponerme a jugar con ella. La placa tiene un coste muy asequible, ya que no superará los 10 .

La compañía que se encuentra detrás del diseño es Espressif, una compañía China. Integra en un solo chip un procesador Xtensa con 32 bits a una velocidad de 160 MHz. Lo interesante de la placa es la conectividad WiFi y Bluetooth. Para los que hayan leído más sobre el tema, muchos consideran esta placa como la evolución del ESP8266.

Figura 5: Placa con microcrontrolador ESP32

Otras de las características y funciones interesantes que proporciona la placa son la mayor potencia, nueva versión de Bluetooth, diferentes sensores o cifrado a través del hardware. Como se ve, y por un valor de adquisición muy bajo, se tiene una placa con la que se nos pueden ocurrir muchas ideas.

Instalación y puesta en marcha

Lo que no quiero es hacer spoiler de los 20 retos que proporciona este BLECTF, así que vamos a ver cómo poner en marcha esto desde mi experiencia. Yo he probado el proceso en Kali Linux y en Ubuntu 18.04. Es un proceso muy similar en ambos casos, aunque con pequeñas diferencias, las cuales se pueden ver en el artículo de Elvis. Lo primero es instalar todo lo necesario en el entorno:
apt-get install git wget flex bison gperf python python-pip python-setuptools python-serial python-click python-cryptography python-future python-pyparsing python-pyelftools cmake ninja-build ccache
También hay que descargar las librerías de espressif. Para ello, se puede hacer un git clone:
git clone --recursive https://github.com/espressif/esp-idf.git
Antes de esto, se puede utilizar la herramienta ESP32 Toolchain, también se puede encontrar como Xtensa Toolchain, para poder incorporar de manera sencilla lo necesario para generar el binario que necesitamos para, posteriormente, flashearlo.
wget https://dl.espressif.com/dl/xtensa-esp32-elf-linux64-1.22.0-80-g6c4433a-5.2.0.tar.gz
En el archivo $HOME/.profile se recomienda incorporar dos variables de entorno, para que todo sea más sencillo y rápido.
export PATH="$HOME/esp/xtensa-esp32-elf/bin:$PATH" 
export IDF_PATH=~/esp/esp-idf
Para la instalación automática de los requisitos y dependencias de esp32 se puede hacer uso del script install.sh que viene con lo descargado de Github sobre esp-idf.

Figura 6: Instalando en Kali Linux

Ahora, habrá que hacer un make que nos ayudará a generar el binario de BLECTF, pero antes se recomienda hacer un make menuconfig para poder configurar lo que queremos que tenga el binario. Al menos, hay que activar el Bluetooth. Sin eso, no podremos jugar con el Bluetooth. En otros sitios puede que os indiquen también que hay que indicar el puerto por el que se conectarán para el flasheo (velocidad, etcétera).

Una vez que el make funciona, puede dar algún problema, en algunos entornos por alguna dependencia que falte, hay que ejecutar el make flash y entonces el proceso se realizará sobre la placa.

Figura 7: Pasando el proceso a la placa

Ya tenemos lista la placa. Ahora toda disfrutar y aprender con este ingenioso CTF con BLE. Seguiré jugando con esta placa y con el tema del BLE. Sin olvidar a nuestra querida Micro:Bit que tanta diversión y tanto potencial tiene.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.
Para consultas puedes usar el Buzón Público para contactar con Pablo González

sábado, enero 11, 2020

mASAPP CI: Cómo Integrar el análisis de vulnerabilidades en el ciclo de desarrollo seguro en las apps móviles que creas

Si has seguido este blog durante los últimos años, o has estado en el mundo de la ciberseguridad siguiendo las noticias que más nos han alertado en estos tiempos, sabrás que las apps en los markets oficiales de Google Play o App Store no son siempre trigo limpio, y los equipos de seguridad tanto de Apple, como de Google, como de la comunidad de ciberseguridad formada por researches y empresas como ElevenPaths han estado aportando conocimiento constantemente para luchar contra estas amenazas.

Figura 1: mASAPP CI: Cómo Integrar el análisis de vulnerabilidades
en el ciclo de desarrollo seguro en las apps móviles que creas

Si extendemos el número de markets, y llevamos a otros markets no oficiales de Google y Apple donde también se publican apps que son consumidas por personas y, como no, los propios empleados de empresas que llevan sus terminales personales en iniciativas BYOD.

- API Keys: Seguir el rastro a los "adwares" de Android con Tacyt
- Apps en Apps: Ficheros APK y EXE en apps de Android
- Dorking & Pentesting con Tacyt: Dominios, IPs y Puertos

Para analizar esto, hace tiempo comenzamos a construir nuestra plataforma Tacyt de análisis de apps en markets oficiales y no oficiales, y podéis leer muchos artículos en este blog sobre ella - os dejo algunos enlazados -, además de tener un resumen de lo que se puede hacer en la charla que hizo Chema Alonso en Argentina hace ya muchos años.


Figura 2: Chema Alonso hablando de Tacyt en Argentina

Mucho del conocimiento en análisis de malware, lo plasmó uno de los ingenieros e investigadores que estuvo trabajando en la construcción de Tacyt, y que publicó en este libro de 0xWord de "Malware en Android: Discovering, Reversing & Forensics", donde habla del ciclo completo de ciberinteligencia en el mundo de apps maliciosas para el sistema operativo de Google.

Figura 3: Malware en Android: Discovering, Reversing & Forensics

Mucho ha avanzado la plataforma Tacyt - que tuvo de Codename el famoso Path 5 - en estos años, y sobre ella construimos mASAPP - también conocida como Codename Path 6 -, pero las amenazas siguen estando en los markets. Realizando una serie de consultas en nuestra herramienta de ciberinteligencia, Tacyt, podemos ver lo siguiente.

Figura 4: Buscando apps añadidas en un día concreto con más de 2 vulnerabilidades "High"

En la imagen anterior, se puede ver que, en un día concreto, fueron añadidas casi 500 aplicaciones con más de dos vulnerabilidades de nivel de criticidad alta a uno de los markets de apps más utilizados.

Figura 5: Consulta para ver cuántas apps tienen 1 o más vulnerabilidades críticas
con más de 1 Millón de descargas

Esta consulta, que recoge que existen más de 23.000 apps descargadas más de 1 millón de veces cada una con más de una vulnerabilidad con Criticidad High, demuestra que incluso los grandes pueden cometer errores lanzando apps inseguras a los entornos productivos, como hemos visto en el pasado con muchas empresas de renombre.

El mensaje que queremos transmitir es claro, la seguridad debe ser una preocupación en el desarrollo de apps tanto en las más grandes empresas como en desarrolladores independientes, pero también en la aprobación de apps que pueden ser instaladas en el parque de dispositivos móviles de tu empresa. ¿Cómo garantizas que una app que se va a instalar un empleado tuyo es segura o no? Lo suyo es que pudieras consultar la seguridad de esa app cada vez que se vaya a instalar.

Figura 6: Libro de SecDevOps de 0xWord

Pero... ¿cómo garantizas que tus propias apps no están inyectado problemas en tus clientes o empleados. Es decir, si yo hago apps, ¿cómo sé que no estoy haciendo algo mal? Evidentemente los desarrolladores están formados en seguridad, pero no pueden saber todo, por eso existen los equipos de seguridad, y los procesos de SecDevOps que ayudan a controlar y auditar la seguridad en todo momento.

En los dos casos, en el caso de querer validar que una app es segura para instalarse en el parque de nuestros dispositivos móviles integrando las políticas de seguridad dentro del SMDM de la compañía, como en el ciclo de desarrollo seguro de apps, el contar con Tacyt como plataforma de información o análisis es una buena ayuda. 

Figura 7: mASAPP Online

Y ¿cómo integro el conocimiento y el motor de análisis de seguridad de apps que tiene Tacyt en el ciclo de desarrollo continuo de mi empresas. Pues todo, tiene solución, y si esta es fácil y se puede automatizar, ¡mucho mejor! Para ello creamos tiempo atrás mASAPP  y su versión mASAPP Online - el famosos Codename Path 6 - que son productos de ElevenPaths que se encargan de realizar análisis de vulnerabilidades y comportamientos de las aplicaciones móviles y es una herramienta de trabajo para los administradores de seguridad que pueden:
a) Monitorizar que las apps que desarrollamos no tienen nuevas vulnerabilidades descubiertas y forzar una actualización al equipo de desarrollo, usando mASAPP Online.
b) Analizar la seguridad de las apps que aprueba el SMDM para decidir qué se puede instalar y qué no se puede en los terminales móviles de la empresa, y hacerlo de forma continua que las apps pueden volverse maliciosas, usando mASAPP.
Estas potentes herramientas, nos ofrecerán un exhaustivo análisis de la seguridad de las apps que desarrollamos e instalamos y permiten su utilización vía consola web, que puedes ver en este vídeo, pero también puede ser utilizado mediante API remota, lo que permite infinitas posibilidades de integración.


Figura 8: mASAPP de ElevenPaths

Y ahora vamos a ver cómo podemos integrar mASAPP Online en el ciclo de desarrollo de las apps de nuestra empresa para que sea un simple "check" más a la hora del ciclo SecDevOps de nuestro proceso de creación de tecnología. Y usaremos mSAPP CI.

mASAPP CI

mASAPP CI es una herramienta de código abierto, cuyo código se puede consultar en GitHub y que se puede descargar desde PyPI, surgida con el objetivo de incorporar la seguridad al ciclo de desarrollo de aplicaciones móviles de manera automatizada. mASAPP CI es la combinación de dos utilidades:
masappcli: Comando hecho en Python que se podrá instalar con tan solo la ejecución de la siguiente sentencia en un entorno con el sistema de gestión de paquetes PIP correctamente configurado: pip install masappcli. 
Esta herramienta utiliza el API de mASAPP para el análisis de las aplicaciones y las compara en base a unos estándares que el usuario haya fijado. En caso de que estos estándares se superen en la aplicación analizada, masappcli imprimirá un error. El desarrollador puede fijar dos tipos de estándares:
◦ Máximo nivel de riesgo para su app, que será un valor numérico decimal entre 0 y 10. 
◦ Número máximo de vulnerabilidades y comportamientos desglosados por nivel de riesgo.
• masappstage: Plantilla pensada para su utilización como un stage dentro de un pipeline de Jenkins que controlará masappcli para analizar la aplicación generada por el usuario. Nota: Se admiten colaboraciones para ampliar la cobertura de masappstage a otras herramientas de integración continua :) .
Cómo implantar mASAPP CI

Paso 1: Obtén tus credenciales del API de mASAPP Online. Si no tienes una cuenta todavía, podrás registrarte en la plataforma y mediante un pago seguro vía PayPal obtendrás acceso al análisis de aplicaciones de mASAPP Online. Una vez completado tu registro y pago en mASAPP Online, en la sección de “Clientes API” encontrarás el identificador del cliente (API_KEY) y el secreto del mismo (API_SECRET).


Figura 9: Registro y funcionamiento de mASAPP Online

Paso 2: Crear o seleccionar un pipeline en nuestra instancia de Jenkins donde queremos que el análisis se realice.

Paso 3: Configurar las variables de Jenkins que requiere masappstage:
mASAPP_CI: Esta variable de tipo “Elección”, tendrá cuatro posibles valores. Cada una de las distintas opciones suponen un tipo de ejecución de mASAPP CI:
o Ejecución estándar y ejecución estándar detallada: La ejecución estándar recibirá como entrada un JSON que contendrá el número máximo de vulnerabilidades y comportamientos desglosados por nivel de riesgo aceptados para la aplicación analizada. En el caso en que estas expectativas no se cumplan, el script devolverá un error. La diferencia entre la ejecución normal y la detallada reside en el nivel de detalle de la salida de la ejecución del script. 
Figura 10: Configuración de mASAPP CI en Jenkins
o Ejecución por nivel de riesgo y ejecución por nivel de riesgo detallada: Se introducirá un número decimal de 0 a 10 que representará el nivel máximo de riesgo aceptado para la aplicación analizada. En caso de que el nivel de riesgo que mASAPP estime para la app supere el que acabamos de definir, obtendremos un error.
MASAPP_KEY y MASAPP_SECRET: Las credenciales del API de mASAPP se almacenarán en estas variables que recomendamos almacenar de forma segura mediante el tipo de variable “Secret text” que nos ofrece Jenkins.
Figura 11: Configuración de KEY y SECRET
MAXIMUM: El valor de esta variable dependerá del tipo de ejecución que utilicemos.
o En el caso de la ejecución estándar y la ejecución estándar detallada, esta variable debe ser el JSON mencionado anteriormente. Un ejemplo de este JSON sería el añadido en la siguiente imagen: 
Figura 12: Configuración de variable MAXIMUM
o En el caso de que la ejecución sea por nivel de riesgo, bastará con que el valor de esta variable sea un número decimal entre 0 y 10.
Figura 13: Límite establecido a 5.9
Tras la configuración de las variables habremos configurado un job que tendrá la siguiente pinta en su vista de ejecución:
Figura 14: Job en Jenkins creado

Paso 4: Copia el contenido de masappstage en tu pipeline en la sección de definición de la configuración de tu pipeline tal y como se puede apreciar en la siguiente captura:

Figura 15: Configuración del pipeline

Paso 5: ¡Casi todo listo! Tan solo tendrás que añadir la ruta en la que se encontrará tu aplicación dentro del nodo de Jenkins en el que estás trabajando en el script que copiaste en el Paso 4. Esto lo realizarás sustituyendo “[APPLICATION_PATH]” por el valor de la ruta de la app que quieres analizar.

Paso 6: Para concluir, realiza los arreglos y retoques particulares que pueda necesitar tu nodo, como por ejemplo la instalación de Python o la implementación de notificaciones con los resultados de la ejecución.

Funcionamiento de Jenkins integrado con mASSAP Online usando mASAPP CI

En la imagen puedes ver una notificación de correo electrónico procedente de un job de Jenkins que hemos configurado siguiendo los seis pasos anteriores. En esta ejecución hemos seleccionado la ejecución estándar (no detallada) de mASAPP CI.

Figura 16: Aviso de vulnerabilidades descubiertas.

Aplicar Defensa en Profundidad dentro de los procesos de Fortificación consiste en poner todas las medidas de seguridad que sea posible en todas las fases del ciclo de vida de un sistema. Automatizar las pruebas y descubrir los problemas lo antes posible es una obligación de cualquier arquitecto de software y CISO de una compañía.

Autor: Álvaro López-Gil, Quality & Security Assurance en ElevenPaths & CDCO

Entrada destacada

Hacking Avanzado en el Red Team con Empire (& iBombShell) de @0xWord

Con el comienzo de año hemos sacado el primer libro de 0xWord para todos aquellos que quieran aprender tácticas profesionales de pentestin...

Entradas populares