Cursos Online de Ciberseguridad, Forensics & Hacking para este Enero 2022 en HackBySecurity

Comienza Enero de 2022, y comienza un año en el que tenemos que seguir avanzando, por eso para empezar a planificarse, os traigo la lista de Cursos Online de Ciberseguridad de HackBySecurity para este primer mes del año 2022, donde tenéis una oferta variada comenzando el próximo día 10 de Enero. Además, si reservas tu plaza entre el día 1 y el 15 de este mes, con el código: REYESMAGOS tendrás un 30% de descuento en el coste.

Figura 1: Cursos Online de Ciberseguridad, Forensics & Hacking

para este Enero 2022 en HackBySecurity

Esta es la lista de las formaciones que tienes disponible, con todos los libros de 0xWord que van asociados a ellos. Además, todos los cursos llevan también Tempos de MyPublicInbox para que contactes a los profesionales de Seguridad Informática o a los hackers que están en la plataforma.

- DFIR (Curso Online de Digital Forensic & Incident Response): Esta formación comienza el 10 de ENERO, y es un el curso online dedicado a la disciplina de Análisis Forense tanto para el Peritaje Judicial, como para la gestión de los incidentes y su respuesta. El curso lo imparten los profesionales de HackBySecurity y cuenta con un temario formado por doce módulos que recorren los principales temas a conocer por todo buen analista forense. El curso tiene por docente a Nacho Barnés, con el que puedes contactar en su buzón público por si tienes alguna duda.

Figura 2: Curso Online de Digital Forensic & Incident Response

El curso tiene como complemento a la formación el libro de 0xWord escrito por Pilar Vila, llamado "Técnicas de Análisis Forense para Peritos Judiciales profesionales", nominada en 2020 a los premios European Women Legal Tech 2020 por su trayectoria profesional.

Figura 3: "Técnicas de Análisis Forense Informático para
Peritos Judiciales Profesionales"
Libro de Pilar Vila en 0xWord para todos los alumnos.

- CTEC (Curso Técnico Especialista en Ciberinteligencia): El día 12 de ENERO comienza la formación para aquellos que quieran empezar a trabajar en labores de ciberinteligencia en el mundo de la empresa. Con el objetivo de aprender cuáles son las fuentes de información pública, las técnicas de captura de información y cómo realizar una investigación en Internet y en la Deep Web, este curso enseña metodologías y procedimientos de análisis de información.  El curso tiene por docente a Rafael García Lázaro, con el que puedes consultar en su buzón público para resolver dudas.

Figura 4: CTEC (Curso Técnico Especialista en Ciberinteligencia)

Además, como complemento a esta formación se entrega el libro de Vicente Aguilera y Carlos Seisdedos de "OSINT (Open Source INTelligence): Investigar personas e identidades en Internet", que recoge la gran mayoría de los temas que se explican en la formación. 

Figura 5: Libro Open Source INTelligence (OSINT):
Investigar personas e Identidades en Internet 

  

- CSCE (Curso de Seguridad de Creación de Exploits): Este curso, que comienza el 17 de ENERO, tiene un nivel intermedio y en él se va a explicar cómo construir exploits para vulnerabilidades localizadas. Es decir, cómo explotar vulnerabilidades descubiertas, así que es un curso de nivel intermedio ya que debes tener conocimientos previos de pentesting para saber cómo funciona los bugs, los exploits y la automatización de la explotación de vulnerabilidades. El curso tiene por docente a Sergio Rodríguez Gijón, con el que puedes contactar a través de su buzón de MyPublicInbox.

 

Figura 6: Curso de Seguridad de Creación de Exploits

 

Este libro lleva como material de estudio y acompañamiento el libro de Linux Exploiting de 0xWord donde se explican las metodologías de descubrimiento y explotación de vulnerabilidades en sistemas GNU/Linux.

Figura 7: Linux Exploiting de 0xWord

- CSHW (Curso de Seguridad y Hacking Web): La siguiente formación disponible, que comienza el 19 de ENERO, se centra en la seguridad y el hacking de aplicaciones web, donde se verán las principales técnicas de ataque a aplicaciones con tecnologías web y a las herramientas y metodologías a utilizar en la auditoría de las mismas. El contenido - que ha sido desarrollado por Marta Barrio con la que puedes contactar en MyPublicInbox - tiene como objetivo enseñar los siguientes puntos.

Figura 8: Curso de Seguridad y Hacking Web

Y para completar la formación, los alumnos recibirán el libro de 0xWord titulado "Hacking Web Applications: Client-Side Attacks" escrito por Enrique Rando y donde se ver algunos de los ataques más explotados en este tipo de aplicaciones. 

 

Figura 9: Hacking Web Applications: Client-Side Attacks

 - BLPI (Curso Online Básico Legal del Perito Informático): Esta formación comienza el 20 de ENERO, y es un el curso online dedicado a la disciplina de Análisis Forense tanto para el Peritaje Judicial, como para la gestión de los incidentes y su respuesta. El curso lo imparten los profesionales de HackBySecurity y cuenta con un temario formado por doce módulos que recorren los principales temas legales básicos a conocer por todo buen analista forense.  El curso tiene como complemento a la formación el libro de 0xWord escrito por Pilar Vila, llamado "Técnicas de Análisis Forense para Peritos Judiciales profesionales". 

Figura 10: "Técnicas de Análisis Forense Informático para
Peritos Judiciales Profesionales"
Libro de Pilar Vila en 0xWord para todos los alumnos. 

- CAFIOS (Curso Online de Análisis Forense en iOS): Esta formación que da comienzo el 24 de ENERO está diseñada para que, durante 200 horas de trabajo, los asistentes aprendan a realizar un análisis forense profesional de todos los dispositivos de Apple con iOS, principalmente iPhone, pero también iPod Touch, Apple Watch & iPad, para que pueda ser utilizado en un un proceso pericial. 

 

Figura 11: CAFIOS (Curso Online de Análisis Forense en iOS)

Además, todos los asistentes recibirán el libro de Hacking iOS (iPad & iPhone) 2ª Edición de 0xWord, que explica herramientas, y procedimientos de hacking, pero también de forense de estos dispositivos. 

Figura 12: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.
 

- CNCC (Ciberseguridad  y Normativa en Cloud Computing): También tienes disponible este programa formativo que tendrá lugar el día 26 de ENERO y está centrado en formar profesionales que sepan de seguridad en entornos de Cloud Computing. La computación en la nube ofrece inmensos beneficios potenciales en agilidad, flexibilidad y economía. Las organizaciones pueden moverse más rápido (ya que no tienen que comprar y aprovisionar hardware, y todo está definido por software), reducir el tiempo de inactividad (gracias a la elasticidad inherente y a otras características de la nube), y ahorrar dinero (debido a la reducción de los gastos de capital y una mejor vinculación entre la demanda y capacidad).  

Figura 13: Libro de Cifrado de las comunicaciones digitales:
de la cifra clásica a RSA 2ª Edición de 0xWord

El curso tiene por docente a Rubén López Barrio, con el que también puedes contactar a través de su buzón público en MyPublicInbox para resolver dudas o conseguir más consejo: Contactar con Rubén López Barrio.  

- CSIO (Curso de Seguridad Informatica Ofensiva): En este curso online de seguridad informática ofensiva que comienza el 27 de ENERO el alumno adquirirá los conocimientos y habilidades necesarias para realizar pruebas de penetración y auditorías de seguridad informática pudiendo llegar a desempeñar puesto como el de hacker ético, pentester o auditor de ciberseguridad. Se le introducirán desde los conceptos de hacking básicos hasta la creación de sus propios exploits, pasando por las técnicas de ataque y herramientas más avanzadas y efectivas.

Figura 14: Curso Online de Seguridad Informática Ofensiva

Además, el alumno tendrá como complemento del mismo el libro de Metasploit para Pentesters Gold Edition. Este Curso Online de Seguridad Informática Ofensiva en HackBySecurity es una de las mejores opciones si lo que estás es buscando formarte profesionalmente para trabajar de pentester, y además quieres un modelo flexible de formación, y tiene como docente a Sergio Rodríguez Gijón, que además puedes conocer mejor en la entrevista que le han hecho donde habla de muchas cosas de este mundo.

Figura 15: Metasploit para Pentesters Gold Edition  

 

Y con este pedazo de calendario de cursos comienza el año, que como ves tiene una oferta amplia y variada para ir estudiando a tu ritmo diferentes cursos que te ayuden a convertirte en un profesional de ciberseguridad y entrar a trabajar en este mundo laboral este 2022, que siempre nos hacen falta muchos profesionales en esta disciplina.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Figura 14: Contactar con Chema Alonso

Vídeo Tutoriales de MetaShield Protector (Español e Inglés)

Uno de los productos que hemos evolucionado en Eleven Paths ha sido la familia MetaShield Protector. Inicialmente era una solución sólo para limpiar metadatos en documentos publicados en servidores web de Microsoft Internet Information Services (IIS), pero ahora es una familia con 5 productos distintos: MetaShield for IIS, MetaShield for SharePoint, MetaShield for File Servers, MetaShield Forensics - la antigua Forensic Foca evolucionada - y MetaShield for Client.

Para que podáis conocer en un espacio corto de tiempo cómo funcionan los diferentes productos, hemos creado estos vídeo-tutoriales de solo unos minutos de duración. Están narrados en Español y subtitulados en Inglés.

MetaShield for IIS

Este fue el primer producto de la familia, consiguió ya el premio de Red Seguridad al producto de seguridad más innovador en el año 2009, y sirve para, entre otras muchas cosas, aplicar el Esquema Nacional de Seguridad. Su función es evitar las fugas de datos a través de documentos ofimáticos publicados en la web, que hemos visto que afectan incluso a las empresas centradas en productos DLP (Data Loss Prevention) y las del IBEX 35.


Figura 1: MetaShield Protector for IIS

MetaShield for SharePoint

Al igual que el producto anterior, este funciona sobre servicios SharePoint (Windows SharePoint Services, Microsoft SharePoint 2010 y Microsoft SharePoint 2013. Este vídeo explica su funcionamiento.

  Figura 2: MetaShield Protector for SharePoint
MetaShield for FileServers

Esta es una versión nueva, centrada en monitorizar carpetas en servidores de ficheros. Cada vez que un archivo es creado en una de las carpetas monitorizadas, MetaShield for File Servers eliminará todos los metadatos que tenga el archivo y establecerá unos valores personalizados por una plantilla.


Figura 3: MetaShield Protector for FileServers
MetaShield for Clients

Esta es la versión para los equipos Microsoft Windows de escritorio. Basta con hacer clic con el botón derecho sobre el archivo y se accederá a las opciones de borrar metadatos de todos los documentos. Si tienes una estrategia de seguridad en el endpoint con antimalware, además de seguir la recomendación de evitar que se usen las herramientas de esteganografía, es perfecto añadir el despliegue de esta solución en los puestos de trabajo.


Figura 4: MetaShield Protector for Client
MetaShield Forensic

Esta es la antigua Forensic Foca evolucionada. En aquellos casos en los que es fundamental hacer un estudio forense de lo que ha pasado en un equipo, el análisis de los metadatos es clave. En el artículo de Análisis Forense de Metadatos: Ejemplos ejemplares, hay una lista de casos en los que han generado mucha información.


Figura 5: MetaShield Forensics
Si quieres más información de alguno de estos productos, puedes ponerte en contacto con Eleven Paths, y ya sabes que FOCA hace un análisis completo de los metadatos de un sitio web para hacer un buen pentesting y que aún está disponible la versión online de FOCA donde puedes analizar los documentos de un solo archivo.

Saludos Malignos!

MetaShield Protector, el ENS, el IBEX 35 y los líderes DLP

En el año 2008 publicamos la primera versión de FOCA. En aquel momento era una herramienta centrada en buscar fugas de información de empresas a través de los metadatos, la información oculta y los datos perdidos que contenían los archivos públicos de una organización.

Durante varios años evolucionamos la herramienta y las capacidades de la misma, además de impartir cientos de charlas sobre lo importante que era tener cuidado con estas fugas de información. Entre ellas, conferencias en BlackHat Europe 2009 y Defcon 17 con "Tactical Fingerprinting using metadata, hidden info and lost data" y Defcon 18 con "FOCA 2: The FOCA strikes back", además de estar en el BlackHat USA Arsenal de 2010, donde se contaba la demo de cómo, por ejemplo, se podría hacer un ataque dirigido a la Agencia de Misiles Americana usando metadatos.

Figura 1: Metadatos en la Missile Defense Agency

A lo largo del año 2009 comenzamos a crear MetaShield Protector, un software que evitaba la fuga de información en documentos publicados en servidores web Internet Information Services, y en gestores documentales de la familia SharePoint, y nos concedieron el Premio Red Seguridad al producto más innovador en seguridad de ese año.

También ese mismo año, el gobierno empujaba el Esquema Nacional de Seguridad, que sería aprobado al siguiente con una parte del mismo dedicada a las recomendaciones de seguridad respecto de los metadatos, para evitar riesgos asociados a una mala gestión de los mismos.

Figura 2: Programa CLEAR para detectar fugas por metadatos

Visto todos estos movimientos, parecía bastante evidente que las fugas de información por culpa de los metadatos en los documentos públicos tenían los días contados. Esto se podría esperar aún más cuando incluso el gobierno de los Estados Unidos había decidido crear el programa CLEAR para eliminar las fugas de información de las webs, y tenía en cuenta los metadatos.

Nada más lejos de la realidad.

Desde que comenzamos la andadura de Eleven Paths, decidimos comprobar cuántas empresas estaban teniendo cuidado con los metadatos, así que evaluamos diferentes entornos y se hicieron muchos informes internos con datos sectoriales relativos a las fugas de información.

Uno de los informes está referido al número de empresas españolas que cotizan en bolsa dentro del IBEX 35, para ver cuántas de ellas estaba teniendo una política de limpieza de documentos públicos, tal y como recomienda el Esquema Nacional de Seguridad y las buenas prácticas de seguridad.

La prueba fue bastante sencilla, y consistió en descargar documentos publicados en el sitio web del domino principal de la empresa y comprobar si era posible o no obtener datos de ellas. La conclusión fue que de todas ellas fue posible obtener información a través de los metadatos, es decir, que ninguna estaba teniendo una protección o política de seguridad que contemplara estas fugas de información.

Figura 3: Totales de fugas de información en empresas del IBEX 35

La segunda prueba se nos presentó cuando dimos con uno de los cuadrantes mágicos de Gartner, en concreto con el de los líderes en Data Loss Prevention, lo que nos dio un buen grupo de análisis a tener presente. La prueba era más que evidente, sobre todo después de que hubiera leído hace tiempo un artículo sobre algo similar en el que no sé porqué me dio a mí en la nariz que la prueba parecía haberse hecho con nuestra FOCA.

Figura 4: Cuadrante Mágico de Gartner de empresas líderes en DLP

Uno de nuestros compañeros decidió ir a las webs de las empresas líderes en Data Loss Prevention, descargar los documentos públicos y pasarlos por la FOCA, para ver cuáles estaban teniendo cuidado con la fuga de información por culpa de metadatos. La sorpresa es que ninguno de los líderes tenía cuidado alguno de los metadatos.

Figura 5: Resumen de fugas de datos en metadatos por empresas líderes en DLP

Para evitar que el mensaje se distorsionara, evitamos usar nombres asociados a cantidades concretas, pero lo que nos dejaron claras estas pruebas fue que aún el mercado no ha tomado conciencia de todos los riesgos asociados a los metadatos, y por supuesto decidimos seguir trabajando en mejorar nuestros productos de seguridad de este área.

Figura 6: Gráfica resumen por empresas y tipos de datos extraídos

Mejoramos MetaShield for IIS e hicimos una nueva versión de MetaShield for SharePoint, construimos una herramienta que limpia los metadatos de los documentos almacenados en carpetas de un servidor de ficheros, ya sean locales o de red al que hemos llamado MetaShield for File Servers, a la antigua Forensic FOCA la hemos evolucionado al producto que actualmente llamamos MetaShield Forensics y sacamos al mercado una herramienta que bautizamos como MetaShield for Client que pudiera instalar cualquier persona en su equipo para limpiar los metadatos con un solo clic.

Figura 7: Familia de productos MetaShield Protector

Por supuesto, la herramienta Faast también tiene entre sus objetivos la extracción de los metadatos de los documentos públicos para crear inteligencia en el proceso de pentesting persistente, tal y como lo hace FOCA, porque al final, visto lo visto, sigue siendo una fuente de información sensible que hay que tener en cuenta. Y en el interín han pasado más de cinco años, y parece que todo sigue igual. Aún la gente sigue preguntando ¿qué dices le pasó a Tony Blair con los metadatos de un documento? Meta-sorprendente.

Saludos Malignos!

Limpiar metadatos en Microsoft Office 2011 para Mac

En la versión de Microsoft Office 2013 para Windows existe una opción muy útil para evitar problemas con metadatos, información oculta y datos perdidos. Esa opción, que se llama Inspeccionar Documento y está dentro del menú Preparar, avisa de absolutamente cualquier dato que pueda irse junto con tu documento, además de dar la posibilidad de eliminarlos con un solo clic.

Figura 1: Opción de Inspeccionar Documento en Microsoft Office 2007 para Windows

Por el contrario, en Microsoft Office 2011 para Mac ese menú no está disponible, y lo único que existe es una opción en las Preferencias / Seguridad de cada aplicación - en este caso Word - para que se eliminen los datos personales al guardar el documento.

Figura 2: Opciones de Privacidad en Microsoft Office 2011 para Mac

Al ver esto, rápidamente me acordé de que esta era exactamente la misma opción que había en OpenOffice.org y que tan mal funcionaba, razón por la que acabamos creando el proyecto Open Source de OOMetaExtractor para limpiar correctamente este tipo de documentos ODF.

Figura 3: OOMetaExctrator para limpiar metadatos en documentos ODF

Para probar el funcionamiento de esta opción en Microsoft Office 2011 para Mac decidí utilizar el famoso documento de Tony Blair que tantos quebraderos de cabeza le propinó por culpa de los metadatos. En esta primera imagen se puede ver el documento original Blair.doc analizado por MetaShield Forensics - la antigua Forensic FOCA - con sus respectivos metadatos, información oculta y datos perdidos.

Figura 4: Documento Blair.doc original analizado con MetaShield Forensics

Ahora se hace una copia de este documento, y se guarda con Microsoft Office para Mac 2011 con la opción de eliminar datos personales al guardar.

Figura 5: Guardamos con Microsoft Office 2011 para Mac para limpiar la información oculta

Y de nuevo volvemos a pasarlo por MetaShield Forensics donde se puede observar que no todos los metadatos han sido eliminados. Entre la lista de datos aparece - en este caso - la plantilla que se está utilizando, la versión de software con que se manipuló el documento, y la fecha de impresión original, que como veis es anterior a la fecha de creación del documento dejando una muestra clara de esta manipulación realizada.

Figura 6: Documento Blair.doc limpiado con Microsoft Office 2011 para Mac

Para comprobar como debería funcionar esta opción correctamente, en este tercer caso utilizamos MetaShield Client, una versión para los sistemas operativos Windows que permite eliminar todos los metadatos de cualquier documento ofimático (PDF, Microsoft Office binarios, OOXML, ODF, etcétera) utilizando las opciones del botón derecho.

Figura 7: Limpiando el documento Blair.doc con MetaShield Client

Una vez limpio con MetaShield Client, utilizamos la herramienta MetaShield Forensics para ver qué información aparece, y como podéis ver sale limpio como la patena.

Figura 8: Análisis de Blair.doc con MetaShield Forensics tras ser limpiado con MetaShield Client

Al final, los metadatos pueden revelar mucha información, y en cualquier Análisis Forense Digital pueden resultar cruciales para responder a algunas preguntas. En el caso de Microsoft Office 2011 para Mac no parece tener mucho sentido que estando esta opción de Inspeccionar documento de serie desde Microsoft Office 2007 para Windows, no la hayan incorporado para solucionar el problema de raíz también en sus versiones para Mac OS X.

Saludos Malignos!

Análisis de metadatos en la contabilidad filtrada del PP

Antes de comenzar a leer este artículo, quiero dejar claro que esto no es más que un ejercicio técnico de revisión de documentos, y que un informe pericial podría sacar mucha más información. Es cierto que con tal cantidad de documentos filtrados, era imposible no pensar en analizar los metadatos de todos ellos para ver qué se podía extraer en global de todos ellos, pero desconocemos si fue la misma persona la que los escaneó, los empaquetó en ficheros .ZIP y la que los filtró en Internet. Vamos a hacer un pequeño análisis forense digital, a ver qué sale.

Figura 1: Vídeo-Tutorial de Forensic FOCA

Para este ejercicio que formará parte de los ejemplos ejemplares de análisis forense de metadatos supondremos que todas son personas distintas - hasta que se demuestre lo contrario - y solo se hace un ejercicio de análisis de metadatos para ver qué sale. Por supuesto, para hacer esta tarea de análisis de más de 5GB de datos nada mejor que Forensic FOCA que para esto se creó.

Los ficheros comprimidos

Los documentos se publicaron en ficheros .ZIP comprimidos, en los que aparecían archivos de miniaturas Thumbs.db, lo que podría significar que se habían creado con un Windows XP o anteriores. En el último de ellos, relativo a la contabilidad de 2011 aparecía sin embargo, entre la compleja estructura de carpetas, un fichero .DS_Store, típico de sistemas operativos Mac OS X, lo que parece que se podría haber hecho desde varios ordenadores el empaquetado de los documentos. Así que hemos de suponer que la persona que los empaquetó, o era una con dos equipos distintos, o fueron dos personas distintas.

Figura 2: Thumbs.db en ZIP de año 1999

Los ficheros descomprimidos

Si se descomprimen los ficheros, aparecen más de 400 documentos en formato PDF. Todos ellos son copias escaneadas de documentos originales, pero tenemos la ventaja de que no han sido limpiados de metadatos, por lo que se puede extraer mucha información de ellos. Para analizarlos con Forensic FOCA se extraen todos y se arrastran a la herramienta. El resto se hace solo.

Figura 3: Lista de documentos publicados

Que aparezcan los ficheros comprimidos con archivos de miniaturas y los documentos PDF con metadatos podrían hacernos pensar que la persona que filtró los documentos en Internet o no es la misma que los escaneó y comprimió - y por tanto no le importa la info que de ahí se pueda extraer - o no tiene un perfil técnico alto, lo que haría pensar más en una filtración de alguien con acceso a los documentos en lugar de un ataque hacktivista.

Las rutas a carpetas

Si miramos al estructura de carpetas que aparecen, es curioso ver unidades como m: o t:, lo que significa que se está utilizando algún tipo de sistema de almacenamiento en red NAS para guardar todos los documentos mientras se escanean. Si hubiera que especular sobre el sistema, parece un scaner/digitalizados/multifunción que come documentos y genera los PDF, pero hay cosas que generan diferencias más adelante.

Figura 4: Rutas a carpetas encontradas en los documentos PDF

El software utilizado

Esta información sí que es relevante, pues además de software muy común como Adobe Acrobat o Adobe Distiler, aparecen versiones de software muy concretas, como EFI Cyclone o Developer Express Inc.

Figura 5: Software de creación de documentos PDF encontrado

La primera de ellas es especialmente llamativa, pues es software de impresión profesional que se usa en impresoras de gama alta utilizadas en centros de reprografía de documentos. La lista de equipos que incorporan estas librerías de EFI puede consultarse en la web del fabricante. Nitro PDF Professional tampoco es un software demasiado común, y la versión 6 es bastante antigua.

Las fechas de creación de los documentos

Tras analizar cuándo se crearon y modificaron los documentos, puede verse como se crean y modifican los ficheros PDF. Esto es algo típico de documentos creados página a página, es decir, se digitaliza la página 1 y se crea el documento, luego se digitaliza la página 2, y se modifica el documento PDF anterior.

Figura 6: Sección de fechas de creación y modificación de documentos

Las fechas de creación de estos documentos digitalizados comienzan a hacerse en serie a partir del 8 de Febrero de 2013 en adelante, lo que parece que se hizo a conciencia, ya que hay miles de páginas entre todos los documentos.

Figura 7: Algunos documentos creados el 7 y 8 de Julio

Los usuarios

No aparecen usuarios en casi ningún documento, pero hay 4 de ellos en los que sí. En uno de ellos aparece un genérico Administrador, pero en otros tres documentos aparece el nombre de un usuario MAGomezc.

Figura 8: Usuarios encontrados en documentos PDF

Este nombre, que parece algo similar a Miguel Ángel Gómez C., Marco Antonio Garmendia Crespo o cualquiera de ese estilo, aparece en tres documentos digitalizados en el año 2008, es decir, hace 5 años, pero que podría indicar a una persona concreta.

Figura 9: Un documento digitalizado por MAgomezc en el año 2008

Por supuesto, este metadato sólo dice que se escaneo desde un equipo en el año 2008 en el que el usuario que estaba trabajando con ese Adobe Acrobat PDF Maker 7.0 era MAgomezc.

Al final, serán los investigadores de este caso los que tendrán que casar software con equipos personales de personas o tiendas, modelos de impresoras/digitalizadoras con dueñas, y nombres de usuarios con personas, pero esa ya es labor policial y queda lejos de nuestro objetivo por ahora.

Saludos Malignos!

Metadatos en la declaración de renta de D. Mariano Rajoy

Como ya estaba anunciado, ayer se publicaron los documentos de la declaración de la renta y de patrimonio de nuestro presidente del gobierno, D. Mariano Rajoy. Como muchos, desde el día que  se anunció estaba esperando a que los publicaran no para ver si aclaraba algo o no del asunto Bárcenas - cosa de la que estaba convencido no iba a pasar - sino para ver si volvían a publicar documentos con metadatos después de las movidas que hemos visto ya en todos los Ejemplos de cagadas con metadatos.

El resultado fue que los documentos no aparecían limpios de metadatos, y en ellos se pueden leer algunos datos curiosos tras pasarlos por la FOCA o aún mucho mejor la Forensic FOCA,  como se puede ver en esta captura que tomó un amigo en la que aparece un nombre de usuario - ¿quién es i28000hx?, por favor decidle que actualice a Windows 7 o Windows 8 cuanto antes - y un movimiento extraño de fechas, ya que el documento se crea el día 7 de Febrero y un par de horas antes de publicarse el día 9 de Febrero se modifica.

Figura 1: Metadatos en los documentos de Rajoy

¿Sería que aparecía algo que no cuadraba? Y es que al final, con esta publicación debían saber que España entera iba a hacerle una paralela a la renta del presidente, buscando el más mínimo descuido o error, que el cabreo generalizado de la gente es mucho, por lo que... ¿no hubiera sido mejor limpiar los metadatos? Sobretodo tras cuando en el propio Esquema Nacional de Seguridad se dice que hay que tener cuidado con ellos y no es tan difícil de aplicar. 

Voy a apuntar este caso más a mi lista de Análisis Forense de Metadatos como un ejemplo ejemplar para poner junto al caso del Deficit de la Comunidad de Madrid, el Programa electoral del PP para salir de la crisis publicado por el becario o las Facturas de la trama Gurtel, dignos de recordar como el del escándalo del fallo de seguridad en la web del senado de los 500.000 €.

Saludos Malignos!

¿Adios?

Se acaba el mundo y yo sin despedirme, ¡qué desastre! He visto que para esta noche el hombre del tiempo ha pronosticado unas temperaturas que o bien superarán los 600 º Centígrados o bien serán de 0  º Kelvin, no está aún claro. Puestos a elegir prefiero eso del 0 Kelvin, que según un libro de ciencia ficción que leí hace mucho tiempo - llamado Cero Absoluto - haría que los electrones dejaran de girar y se podría aplicar cirugía a nivel atómico, lo que ayudaría a poder arreglar cualquier enfermedad dentro de, por ejemplo, un cerebro o un cuerpo criogenizado. Pero vamos, eso es por si después nos van a despertar en un Valhala, que si no, casi me da igual una cosa que otra, que como dirían los estadísticos, en media no se está mal.

El caso es que aprovechando la fecha quería hacer un poco de balance sobre este 2012 que me ha dejado muchas cosas buenas... y alguna mala. He tenido algún sufrimiento y algún momento muy duro, pero haciendo balance ha estado para sacar muy buena nota.

Profesionalmente este año he disfrutado como hacia tiempo que no hacía con Informática64, donde hemos tenido muchos y variados proyectos, lo cual agradezco sobremanera a todos los clientes. Por supuesto, no hay que olvidar el trabajo de todos los compañeros de Informática64 que renovaron el Gold Partner de Microsoft en Identity and Security y han sacado todos los proyectos como unos auténticos jabatos. Bien por vosotros, ¡máquinas!

Además, nuestra biblioteca de libros está mucho más allá de donde yo soñé cuando comenzamos con ella hace ya más de 3 años, y se han vendido ya casi 11.000 libros además de haberse publicado 7 nuevos títulos durante 2012. Todo esto se ha debido en gran medida a los lectores, que han sido los principales altavoces de sus lecturas, y a los partners que tenemos en Colombia, Ecuador y Argentina, que gracias a su labor llevan nuestros libros y nuestros servicios más allá de nuestras fronteras. Entre las cosas que también han salido este año de Informática64 están la Forensic FOCA y la nueva versión de la FOCA, que ya estamos evolucionando para tener en 2013 nuevas evoluciones.

Dentro del trabajo de Informática 64 este año es imposible no hablar de la experiencia de tener a Cálico Electrónico entre nosotros. Aún me parece mentira ver la cartela de nuestra ya adolescente empresa al comienzo de cada capítulo y, el verme a mí como personaje en el capítulo 4 me emociona. No solo hemos sacado una cuarta temporada, sino que hemos publicado una aplicación en Windows Phone, una aplicación para Windows 8, otra que aún no está publicada por cosas de Apple para iOS, las tiras de  comic de Deili Electrónico y algún trabajo en el mundo de la publicidad que podéis ver en la web.

Trabajar con Cálico Electrónico ha sido bonito y duro, y no creo que hubiera sido posible hacerlo este año sin el buen hacer de  Nikotxan y la colaboración maravillosa de Ediciones Babylon (¡Gracias!) y ESET España, que nos han apoyado económica y anímicamente (Vosotros también sois Cálico Electrónico)

A un nivel profesional un poco más personal, el trabajo con Talentum Startup y la colaboración con Blog ThinkBig me ha reportado muchas gratificaciones emocionales. El convivir y conocer al grupo que pasó todo el verano en Wayra conmigo y/o con Rodol dejándose la piel, me hizo ver el mundo con otros ojos. Unos que ya tenía guardados en el cajón hace tiempo y que gracias a José María, Javier Santiso, Rosalía y Critina - mis compis de Talentum - recuperé.

También tuve la ocasión de volver a la Universidad mucho más, no solo con las clases en los Masters de Seguridad de la UEM o de la UOC, sino también con el Talentum Tour y las Becas Talentum y a recoger el título con que mi Escuela Universitaria de Informática de la UPM me honró como Embajador, algo que no sé si transmití lo contento que me hizo. También, por alguna petición puntual acabé ayer en la UCLM o di alguna charla en la UPM.

En verano tuve también otra grata muestra de cariño desde Microsoft, renovándome un año más el premio como Most Valuable Professional en el area de Enterprise Security. Son ya 8 años creo, pero sigo disfrutando de él y de mis compañeros. No sé cuantos abrazos repartí en el TechDay y el Lanzamiento de Windows Server 2012 a mis amigos MVP de toda la geografía, - incluido el gran andorrano Luis Franco, o el ex Paniagüa, que fue el que me bautizó a mí en un lejano TechED en Amsterdam -. ¡Qué gente más genial!

Ya a finales de año, gracias a los lectores de este blog, me dieron el premio al mejor blog de Seguridad Informática en los Premios Bitácoras, algo que me pilló un poco por sorpresa, pero que os agradezco de verdad, ya que me transmitió vuestro cariño y me dio fuerzas para continuar trabajando con el blog. Y a aprovecharme de él para seguir publicando mis dibujitos de No Lusers.

Otra grata experiencia de este año ha sido el entrar a trabajar en la radio con Javi Nieves, donde han tenido toda la paciencia conmigo, para enseñarme - aún a día de hoy - que cuando la luz está roja en el estudio no se puede hablar de nuestras cosas. Gracias a todas las chicas y chicos del equipo de allí que me tratáis siempre con cariño. Si no se acaba el mundo, prometo aprender más de cómo funciona la radio.

Por último en este area, no puedo olvidarme de la seguridad informática y el hacking, que me llenan la vida desde hace años y que durante el presente me han llevado a Troopers, Hack In The Box, RootedCON, DefCON, BlackHat, Sec-T, Jornadas de Seguridad de A Coruña o NoCONname a dar charlas, disfrutando de amigos y compañeros en LaCON, y a mantener este blog día a día, solo por estar en contacto con vosotros.

El año aún me dio para participar en la Gira Up To Secure 2012, en TedXRetiro, en Red Innova, AppFest, Campus Party Europa en Berlin, Wayra Week, el curso de especialización de la Universidad de A Coruña en dispositivos móviles, Internet es Tuyo 3, el Asegúr@IT Camp 4 y alguna que otra charla que me llevó a Colombia (2 veces), México y Venezuela, Alicante y Tenerife o cursos como el FTSAI, o Seguridad Web Online en que me he implicado con alguna charla.

Veo todo lo que he disfrutado este año con todas estas cosas y me encuentro feliz. Cansado, muy cansado porque ha sido un año largo, pero feliz. Es por eso que creo que si se acaba el mundo puedo irme tras un año pleno, y lleno de cosas buenas. 

No, no soy ajeno a las penas, y por supuesto este año también he tenido sinsabores, dolores de corazón, alguna lágrima derramada que no he podido contener y ataques de enfado por cosas que me han dolido. A pesar de ser Maligno tengo una parte humana, así que también me llevo unas cuantas cicatrices en mi corazón de cosas tristes que irremediablemente acaban pasando, pero en esto consiste vivir, en que te pasen cosas buenas y malas... hasta que ya no te pase nada.

Hoy, por si acaso se acaba el mundo, es la fecha que hemos elegido para la cena de empresa de Informática64, así que saldremos de fiesta por los garitos de Bronxtolex... hasta que se acabe el mundo o mis baterías. Nos vemos en el más allá o en el más acá. Quién sabe...

Saludos Malignos!

John McAfee: La huida y los metadatos de un iPhone 4S

La historia de John McAfee está dando lugar a que los más sesudos guionistas de Hollywood se pongan a trabajar en una película que iba a ser de las más taquilleras. Todo comenzó con la muerte del vecino de John McAfee y la investigación de la Policia de Belize, lugar donde residía, por miedo a un juicio injusto y tras ver como su perro moría envenenado entre convulsiones el día que se produjo la redada en su casa.

Desde entonces, todo se desbordó en Internet, con la aparición de miles de fotografías con John McAfee y sus armas, y las mil y una historias macabras alrededor de su figura - engrandecida por el hecho de ser McAfee una empresa pionera en la lucha contra el e-crimen -. Lo cierto es que John huyó, y se abrió un blog Who is McAfee donde - créeme - cada post es como estar leyendo un capítulo de The Wired.

Figura 1: John McAfee

Hoy es el día que ha elegido dar la conferencia de prensa, en Guatemala, pero como contaban en Naked Security, antes de que él revelara que se encontraba allí, por Twitter alguien lo había descubierto porque se publicó una fotografía hecha con un iPhone 4S ... y la información GPS de su ubicación.  En la foto que hay ahora "Estamos ahora mismo con John McAfee, mamones" la información EXIF ha sido eliminada según nuestra FOCA Online - justo el día que saltó la noticia del fallo de los metadatos, pero en la original parece que estaba toda ella.

Figura 2: La foto que contenía los metadatos EXIF

Luego dijo que había sido manipulada la información EXIF (que podría haberse hecho), pero lo cierto es que no muchos se creyeron esa historia, más cuando al final resulto que estaba en Guatemala y había sido declarado "Person of interest".

Figura 3: La posición GPS que aparecía en la foto

Como estamos en puente de vacaciones, si quieres leer una novela de acción, no dudes en bucear en esta historia,.... que tiene todo el drama y la acción que requiere una buen best seller. Yo voy añadir este caso a los ejemplos ejemplares de análisis forenses de metadatos.

Saludos Malignos!