Hoy es el Black Friday también en @0xWord: 10% OFF

Si tenías intención de comprarte alguno de los libros nuevos que hemos lanzado en 0xWord como el de Hacking Web Technologies, la 2ª Edición de Hacking iOS: iPhone & iPad, la novela de Got Root o el recién salido del horno Máxima Seguridad en WordPress, hoy es un buen día para hacerlo. Desde las 00:00 de esta noche, hasta las 23:59 de la noche del 25 de Noviembre comienza el Black Friday en 0xWord.

Figura 1: Black Friday 2016 en 0xWord

Todo el material en la tienda de 0xWord, incluidos los packs oferta, los libros de 0xWord Pocket y el pendrive de coleccionista de Cálico Electrónico, tendrán un 10% de descuento durante las 24 horas del día de hoy. Para ello, debes introducir durante el proceso de compra el Código Descuento BLACKFRIDAY2016.

Figura 2: Últimos libros del catálogo de 0xWord. Hay 42 títulos distintos.

Si tenías algún libro pendiente de la colección, o si querías adquirir un pack oferta con cinco libros por menos del precio de cuatro, hoy es el día perfecto para acumular los descuentos. Y si querías preparar algunos regalos para navidades, e incluso llegar a tiempo para la llegada de Papá Noel... o los Reyes Magos. ¡Qué mejor que una FOCA rosa!

Saludos Malignos!

Cómo crear un Bot para Twitter usando Sinfonier

En la actualidad, la cantidad de información que se genera en Internet es inmanejable de la forma tradicional, por lo que la forma natural de trabajar es con la capacidad de procesamiento automático que nos ofrecen las herramientas de Big Data y/o Cloud Computing y que usamos de manera natural para muchos de los desarrollos que hacemos en ElevenPaths.

Figura 1: Cómo crear un Bot para Twitter usando Sinfonier

Una de esas herramientas es Sinfonier, que nos permite automatizar procesos de generación de inteligencia en proyectos de análisis de ciberseguridad, y que con la versión Community podemos trabajar con fuentes de información OSINT de forma gratuita. Aquí tienes una charla que explica cómo comenzar con Sinfonier.


Figura 2: Comenzar a utilizar Sinfonier
Usando como guía el libro de 0xWord sobre Sinfonier cree un bot en Twitter, que nos permita durante el evento de “La apuesta de hoy hacia el futuro“ en Telefónica Colombia, dar las gracias a las personas que escriben trinos que contengan a alguna de las cuentas de Twitter oficiales de la operación y el hashtag del evento, que era #EmpresaDigital, por lo que la topología del análisis quedo así.

Figura 3: Topología del Bot de Twitter con Sinfonier

La topología usa un Spouts de la comunidad, que permite aprovechar el API de Twitter para capturar en tiempo real los trinos que contengan unas palabras claves, en este cao las concernientes con las cuentas oficiales de la operación de telefónica en Colombia

Figura 4: Detalle de la configuración del Spout de Twitter

Una vez se tiene esto se inicia el procesamiento y la generación de inteligencia con los datos recolectados, que en esta caso es muy simple, pues se extraen los hashtag que tenga el trino y se para por un filtro al campo “text” de la entidad del hashtag, buscando cuatro contenidos específicos. Una vez pasa el filtro el sistema usa una condicional para validar si el lenguaje del autor esta marcado como español y por último se usa otro Bolts que nos permite manejar de forma más simple las entidades de que envía la API de Twitter.

Figura 5: Detalle del análisis del twitt con el Bolt de Twitter en Sinfonier

Por último se toma un Drain para publicar en Twitter un mensaje de agradecimiento acompañado del nickname de la cuenta que origino el mensaje del tweet.

Figura 6: Drain de publicación de agradecimiento en Twitter

Al ejecutar la topología se puede apreciar el funcionamiento del Bot con una cuenta que se creo para este ejercicio y que es @csa_11paths

Figura 7: Resultado del bot

El proceso completo de como se configuraron el spout para consumir la API de Twitter se puede ver en el siguiente vídeo:

Figura 8: Cómo crear un Bot para Twitter usando Sinfonier

Más información sobre Sinfonier en los siguientes recursos:

- Libro Sinfonier para Ciberseguridad
- Investigar el Cibercrimen en Android con Tacyt y Sinfonier
- Procesado y generación de ciberinteligencia con Sinfonier
- Controlar con Sinfonier un bot de Telegram con Latch y Virus Total
- ¿He sido Hackeado? Cómo construir un bolt para Sinfonier
- Desenmascarar cuentas de Twitter con una topología de Sinfonier
- El Internet de tus cosas con Edison y Sinfonier
- Cómo monitorizar la seguridad de una SmartCity con Sinfonier: Zaragoza

Autor: Diego Samuel Espitia Montenegro (@dsespitia)
Chief Security Ambassador de ElevenPaths en Colombia

Security Day 2016_: Todas las presentaciones en vídeo

Ya hemos publicado los vídeos de todas las sesiones que se realizaron durante el Security Day 2016 de Eleven Paths para que puedas ver todo lo que presentamos allí. Para que te sea mucho más cómodo verlas, hemos dividido todas las sesiones vídeos cortos clasificados por temáticas concretas, así que puedes verlos seguidos o uno a uno seleccionando el que más te apetezca en cada momento.

figura 1: Security Day 2016_. Todas las presentaciones en vídeo

Ya os iré desgranando una a una las novedades en el blog de Eleven Paths, porque hemos presentado integraciones de Faast con FortiWeb, de MetaShield Protector con FortiGate, hemos presentado MetaShield Protector for Exchange Server en entornos privados, pero también como versión App para Office 365. Además, en la sesión hemos hablado de las novedades de SandaS y SandaS GRC - preparados para entornos de Ciberseguridad Industrial - y hemos hablado de nuestros servicios de Data Loss Detection además de los proyectos de Firma Digital integrando certificados digitales y firma digital manuscrita. Todo ello, en los siguientes vídeos y en este artículo tienes un resumen de lo principal.

Figura 2: Bienvenida por Chema Alonso & José Luis Gilpérez 

Figura 3: Keynote por Chema Alonso

Figura 4: Unidos somos más fuertes

Figura 5: Unidos somos más fuertes - Fortinet

Figura 6: Virtual Patching - FortinWeb & Faast

Figura 7: SandaS

Figura 8: SandaS GRC para ciberseguridad industrial

Figura 9: Hack Your Future! Entrega de premios

Figura 10: Firma Digital con SealSign

Figura 11: Data Loss Detection

Espero que este fin de semana, estos vídeos de entre 2 y 30 minutos llenen tus huecos de relax con algo de información que te pueda ser útil.

Saludos Malignos!

Sinfonier: Procesado y generación de inteligencia para analistas de ciberseguridad @0xWord @e_sinfonier

Hoy estamos de estreno con la publicación de un nuevo libro de 0xWord, en este caso, dedicado a la versión Community de Sinfonier. Como ya sabéis, esta es una tecnología que desarrollamos en Eleven Paths y que puede utilizar cualquiera para procesar y generar ciberinteligencia mediante el procesamiento en paralelo y orquestado de fuentes de información OSINT.

Figura 1: Sinfonier - Procesado y generación de inteligencia para analistas de ciberseguridad

Con esta tecnología se pueden realizar un montón de tareas de análisis de datos, y en el artículo titulado "Aprender Sinfonier from scratch", recopilé una buena cantidad de recursos de formación para comenzar a trabajar con ella. Desde un seminario online, hasta artículos que cuentan paso a paso casos de uso. A esos materiales les puedes subir el artículo que hizo el ganador del Sinfonier Community Contest en el que explicaba cómo es posible utilizar Sinfonier para monitorizar la seguridad de una SmartCity, en este caso Zaragoza.

Figura 2: Libro de 0xWord dedicado a Sinfonier Project

Ahora con este libro tienes un recurso de autoformación más, que recorre desde el uso más sencillo de Spouts, Bolts y Drains para crear topologías, hasta el uso avanzado con proyectos concretos de ciberinteligencia que requieren el desarrollo propio de componentes. Os he subido a SlideShare el índice del libro para que veas los contenidos en detalle.

Figura 3: Índice del libro Sinfonier: Generación de inteligencia para analistas de Ciberseguridad

El libro está ya a la venta, y puedes adquirirlo en la página web, o pedirlo a nuestros distribuidores en latinoamérica para que te llegue lo antes posible. Además, puedes ponerte en contacto con nuestros ingenieros a través de la sección Sinfonier en la Comunidad de Eleven Paths.

Saludos Malignos!

Security Day 2016_: Security Evolution [Madrid]

Un año más repetimos nuestro calendario en Eleven Paths y antes de irnos de KickOff y hacer la parada veraniega, hacemos un catch-up públicamente con todo lo que hemos avanzado en este periodo de tiempo en la parte tecnológica. Esta será la tercera edición del Security Day, y lo hacemos para enseñaros demostraciones de nuestras tecnologías, junto con proyectos que hemos implantado usando los productos, y alguna novedad que esperamos que os guste.

Figura 1: Security Day 2016_ - Security Evolution

En la agenda vamos a hablar de Virtual Patching y cómo utilizar Faast con sistemas WAF para el parcheo en caliente de vulnerabilidades. Vamos a hablar de cómo hemos desplegado servicios de firma digital con certificados digitales habilitados con firma digital manuscrita y protegidos con Latch. Vamos a hablar de como hemos utilizado SandaS GRC y Vamps en el control de sistemas industriales y SCADA.

También vamos a hablar de novedades con MetaShield Protector para Exchange Server y MetaShield para Office 365. Vamos hablar de nuevas alianzas estratégicas que hemos firmado con Fortinet o las integraciones que hemos hecho con CheckPoint y Kaspersky. Y vamos a hablar de las implementaciones con Sinfonier y Latch que se han hecho en los concursos.... y alguna sorpresa más. Esta es la agenda que tenemos preparada.

Figura 2: Agenda del evento

El evento es para clientes y profesionales y tendrá lugar en Madrid, el día 26 de Mayo, en el auditorio Rafael del Pino sito en la calle Rafael Calvo 39A. Será únicamente por la mañana y habrá un café y un cóctel al terminar.

Figura 3: Ubicación del evento

Para asistir hay que registrarse previamente y se confirmará las plazas a los asistentes por correo electrónico ya que hay un aforo limitado y debemos respetarlo, así que si quieres asistir, regístrate cuanto antes e intentaremos reservarte tu sitio.

Saludos Malignos!

Aprender Sinfonier "from scratch"

El pasado mes de febrero nuestros compañeros de Sinfonier fueron a Granada para organizar un hackathon en el que enseñaron a los asistentes a desarrollar topologías de ciberinteligencia, bolts, spouts y drains para sacarle partido a esta tecnología.

Figura 1: Aprender Sinfonier "From Scratch"

Además de la competición, previamente se realizó un seminario de una hora de duración en el que se explicaron los conceptos básicos para que cualquier persona pueda comenzar a hacer uso de Sinfonier. Aquel seminario se grabó en vídeo y aquí lo tienes disponible. Sácate una cuenta gratuita en la web de Sinfonier Community, dedícale una hora a ver el seminario, y comienza a hacer tus primeros proyectos.

Figura 2: Cómo comenzar a analizar datos con Sinfonier

Además de el seminario, tienes muchos recursos que te pueden ayudar a conocer mucho más sobre esta tecnología. Aquí te dejo una lista de recursos que puedes utilizar para construir tus proyectos usando Sinfonier. Toma nota:

-Libro Sinfonier para Ciberseguridad
- Investigar el Cibercrimen en Android con Tacyt y Sinfonier
- Procesado y generación de ciberinteligencia con Sinfonier
- Controlar con Sinfonier un bot de Telegram con Latch y Virus Total
- ¿He sido Hackeado? Cómo construir un bolt para Sinfonier
- Desenmascarar cuentas de Twitter con una topología de Sinfonier
- El Internet de tus cosas con Edison y Sinfonier
- Cómo monitorizar la seguridad de una SmartCity con Sinfonier: Zaragoza

Además de estos artículos en los que se explican casos de uso de Sinfonier, tienes una buena cantidad de recursos que puedes utilizar para aprender en profundidad esta tecnología. Aquí tienes una conferencia de presentación del producto que dio nuestro compañero Fran - alma de este producto - contando los conceptos básicos que se persiguen.

Figura 3: Presentación de Sinfonier Project

Pero tienes todos estos recursos para estar al día:

- Web de Sinfonier Project
- Blog de Sinfonier
- Twitter de Sinfonier
- Foro de Sinfonier en la Comunidad Eleven Paths
- Lista de vídeos de conferencias y demos de Sinfonier

Y si aprendes a manejar Sinfonier, y haces tus proyectos con esta tecnología - ya sea un Proyecto Personal,  Proyecto de Fin de Carrera o Proyecto Fin de Máster - no dudes en enviarnos el currículo, que seguramente tengamos un hueco para ti en Eleven Paths. 

Saludos Malignos!

Pablo Iglesias tiene más dispositivos que yo o algún Community Manager le pone algún tweet

No busquéis en este post de hoy ningún tipo de interés en mediatizar en la compleja situación política de nuestro país y quédese nada más el lector con que el personaje elegido tiene los requisitos necesarios para poder ejemplarizar la pequeña historia que os voy a narrar sobre lo que llamamos internamente en Eleven Paths el "Social Faast", o lo que es lo mismo, una plataforma para hacer pentesting persistente a las personas que trabajan en una organización para ver si tenían el nivel de protección personal necesaria para mantener el nivel de "Ressiliance" en una empresa dentro de unos términos aceptables.

Figura 1: Pablo Iglesias tiene más dispositivos que yo o
algún Community Manager le pone algún tweet

Dentro de esta iniciativia, el objetivo es sacar partido de lo  fácil que es localizar a través de las redes sociales los puntos de exposición de los empleados de una compañía. Esto, que parece una perogrullada puede llevarse a puntos muy curiosos. Desde utilizar las cuentas de correo electrónico descubiertas de los empleados para hacer ataques de Spear Phishing o Spear Apps, hasta localizar los números de teléfono en los directorios de la empresa para sacar sus cuentas de Facebook, Twitter o demás servicios o ver cómo robar las cuentas en base a robos de SMS con ataques Software Defined Radio de personas clave en la empresa. O robarles las cuentas personales de Facebook por las preguntas secretas. En un APT todo vale.

También es posible saber dónde está una persona por los metadatos GPS que quedan en sus Tweets o por las fugas de información de metadatos que quedan publicadas en sitios como Flickr. O saber si está despierto o dormido por cuándo está activo en WhatsApp o en Telegram. También es posible localizar si los correos electrónicos están en otras redes sociales y si han sido hackeados en algún momento, crear una base de datos OSINT con los estados de WhatsApp o conocer la información del dispositivo por las firmas de sus mensajes en Twitter.

Figura 2: Geoposicionamiento de Steve Wozniak por la información GPS de sus tweets

Es de este punto en concreto de lo que quería hablar hoy. De las firmas de los dispositivos que se quedan en los mensajes de Twitter. Cuando publicas un Tweet queda registrado el dispositivo que has utilizado para hacerlo. En mi caso, si revisas mis mensajes de Twitter - hacedlo que desde ayer estoy verificado por Twitter }:) - veréis que suelo hacerlo desde Twitter for Mac para las publicaciones de los Twitts que anuncian los posts del blog, Twitter for iPhone cuando respondo a algo "on my way" o "Twitter Web Client" cuando estoy sentado trabajando y contesto cosas. Es fácil con estos ingredientes conocer mucho de las rutinas de una persona. 

Figura 3: Twitt escrito desde Twitter for Mac (visualizado desde Tweetdeck)

Esta información puede ser peligrosa si estás haciendo una campaña promocionada por un fabricante, como ya le paso a HTC que había hecho las fotos con iPhone o al propio Iker Casillas que promocionó su Samsung Galaxy usando Twitter for iPhone, algo que podéis comprobar en todos sus tweets. Iker es de iPhone.

Figura 4: El twitt de Iker promocionando Samsung desde un iPhone
(Visto desde Tweetdeck)

Aprovechando que descubrí que en Twitter hay búsquedas avanzadas para localizar por las firmas de dispositivos, decidí que sería una buena opción buscar en el time-line de alguna personalidad pública información de los dispositivos que utiliza. Elegí a Pablo Iglesias (@pablo_iglesias_) porque el uso que da su grupo político a las redes sociales es muy activo, y pensé que podrían ser varias las personas que manejan las cuentas de sus líderes, algo común, como ya vimos en el pasado con Rosa Díez. 

Figura 5: Pablo Iglesias enviando mensajes desde "Twitter for Windows"

El caso es que la búsqueda que hay que hacer desde cada cliente de Twitter es tan sencilla como from:Cuenta_de_Twitter source:"firma_de_cliente_Twitter". En la lista de firmas de Twitter que puedes probar están las siguientes (y si conoces alguna más pásamela y la añado a la lista):

• Twitter Web Client
• Twitter for Mac
• Twitter for Windows
• Twitter for Android
• Twitter for iPhone
• Tweetdeck
• Buffer
• IFTTT
• twitterrific
• Sprinklr
• Radiant 6 -Social Media Management

Los resultados obtenidos con la cuenta Twitter de Pablo Iglesias, como se puede ver, son muy variados en cuanto a dispositivos, pero si miramos los contenidos de los mensajes, podemos ver que los más personales son los que se envían desde Twitter for iPhone y Twitter for iPad - el que dan a los diputados -.  Esa sería mi apuesta para saber cuándo escribe él y cuándo un Community Manager, pero podría ser que Pablo Iglesias tenga más dispositivos que yo.

Figura 6: Twitts de Pablo Iglesias desde iPhone, iPad, Android, TweetDeck y Web Client

Automatizar el descubrimiento del dispositivo personal se podría hacer con un análisis NPL (Procesamiento del Lenguaje Natural) que sacara metadatos de las emociones de los mismos. Teniendo esta información, se podría saber a quién de los que están twitteando hay que atacar en un escenario de APT. A lo mejor es más fácil engañar al Community Manager.

Figura 7: Configuración del Spout de Twitter para Sinfonier que permite procesar time-lines

El procesado del time-line de Twitter se puede hacer con una topología Sinfonier - similar a la que hicimos en para desenmascarar perfiles ocultos en Twitter - con la que se podría detectar en todo momento cuándo el que está twitteando es un Community Manager y cuando la autentica personalidad, sacar estadísticas, etcétera. Haciendo esta detección, se podría también hacer un cliente Twitter que eliminara, por ejemplo, los mensajes de aquellas personalidades a las que sigues que han sido inyectados por un Community Manager, y así evitar el posible spam. Al final, tú decides para que quieras la información.

Saludos Malignos!

Haz tu hack este fin de semana y gana hasta 14.000 USD. Latch Plugins Contest & Sinfonier Community Contest

Estamos a día 10 de Febrero, y el próximo día 15 de Febrero acaba el plazo para entregar tus propuestas en el Latch Plugins Contest y el Sinfonier Community Contest. Es decir, tienes 5 días y un fin de semana de por de medio para presentar tus hacks con Latch o con Sinfonier y poder llevarte uno de los 5 premios que vamos a entregar a los ganadores.

Figura 1: Haz tu hack y gana hasta 14.000 USD

¿En que consiste el trabajo que hay que presentar?

Pues en un hack que nos sorprenda. En el caso de Latch puede ser una integración en un sistema de Internet, por ejemplo para controlar accesos a una plataforma CMS no soportada a día de hoy, o en una aplicación Open Source popular que no tenga soporte para 2FA, o para controlar partes del acceso a un software, pero también en sistemas IoT utilizados en domótica, en el mundo de las SmartCities o en tu alrededor. El control de apertura de un garaje, el acceso a la piscina de una casa o urbanización, la apertura y cierre de la puerta de una tienda en horario laboral, etcétera. La imaginación la pones tú.

Figura 2: Acceso a un laboratorio de Universidad protegido por Latch

En el caso de Sinfonier, los premios se dan en dos categorías diferentes. La primera es para el que haga la mejor topología de inteligencia con todos los Spouts, Bolts y Drains existentes. Es decir, aprender cómo funciona la generación de topologías y hacer la orquestación del procesado de datos de fuentes privadas y/o públicas para generar algún resultado útil. Un ejemplo de esto sería el procesado que se hizo en un hackathon en México de las redes WiFi inseguras, el uso para desenmascarar cuentas Twitter, el que hicimos nosotros para analizar las muestras de malware en Path 5 o el hack para controlar el uso de Telegram con Latch y Sinfonier. Tú te pones el límite.

Figura 3: Explicación de qué es Sinfonier en 4 minutos

El segundo premio es al mejor componente. En la versión Sinfonier Communy todos los componentes son Open Source para que reviertan en la comunidad de analistas, así que vamos a premiar a aquel que haga el mejor Bolt para gestionar algún elemento. Por ejemplo, para interactuar desde Sinfonier con un hardware o un servicio en la web que permita ser utilizado en topologías.

Figura 4: Bolts de Sinfonier creados para que las topologías interactúen con Google+

¿Por qué participar?

Participar en un hackathon y tener algo tangible con tu trabajo es algo que siempre te ayuda. Pero lo mejor de todo es que es un reto personal que te hará aprender, llevarte a un paso más allá de donde estás ahora. Resolver un problema, sacar adelante un proyecto y aprender te hará ser mejor informático. No importa si tienes 18 o 50 años, el reto es hacerlo. Por supuesto, lo mejor es la satisfacción de verlo funcionando, de verlo en uso por más gente, en que cuando te digan en una entrevista - si estás buscando trabajo - eso de "¿y tú que has hecho que yo pueda ver?" puedas enseñar algo.

Figura 5: Una centralita Asterisk protegida por Latch

Por supuesto, los premios también son un aliciente para participar, pero lo mejor de todo es la satisfacción de hacerlo y la diversión de hacerlo en grupo si lo haces con compañeros. Además, si luego este trabajo quieres que sea parte de tu Proyecto de Fin de Carrera, Proyecto de Fin de Master o Trabajo de Investigación, siempre puedes usarlo.

¿Puedo enviar muchos trabajos y llevarme los 14.000 USD?

Sí, puedes enviar tantos trabajos como quieras y todos será valorados de forma independiente, así que puedes ganar los 14.000 USD tú solo o en grupo.


Figura 6: Procesado y Visualización de redes WiFi inseguras con Sinfonier

¿Y si no sé nada de Latch ni Sinfonier?

En el caso de Latch tienes muchísimos artículos publicados con código en este blog, en el blog de Eleven Paths y en la Comunidad. Tienes los SDKs documentados en GitHub y multitud de ejemplos con implementaciones Open Source de plugins. Además, en mi canal YouTube tienes unos webcasts que explican cómo utilizar los SDK de Java, PHP y .NET para Latch.

Figura 7: Webcast que explica cómo integrar Latch en aplicaciones PHP

En el caso de Sinfonier más o menos lo mismo. En el blog de Sinfonier tienes multitud de posts que explican como crear bolts e incluso máquinas virtuales para desarrollo listas para usar, como usar los componentes ya creados para hacer topologías y en mi canal YouTube he abierto una lista de vídeos con charlas y explicaciones sobre Sinfonier.

¿Y si necesito más ayuda?

Pues este viernes 12 de Febrero tienes un taller en Leganés sobre cómo crear topologías en Sinfonier de dos horas, pero además puedes sacarte una cuenta en la Comunidad Técnica de Eleven Paths y pedir ayuda, que nuestros compañeros CSA, los ingenieros y yo mismo intentaremos darte todo el apoyo posible. Ve a la web, ábrete una cuenta y participa en las conversaciones.

Figura 8: Categorías de Latch en la Comunidad Técnica de Eleven Paths

Vale quiero participar, ¿Cómo?

Pues ponte a trabajar en una de las categorías de los premios, y envía tu trabajo. Tienes todos los detalles en la web de Latch Plugins Contest y en la de Sinfonier Community Contest. Tienes hasta el día 15 de Febrero para enviar tus trabajos. ¡Ánimo!

Saludos Malignos!

XII Ciclo de Conferencias TASSI de Seguridad Informática

El Dr. Jorge Ramió, co-autor del libro de Cifrado de las comunicaciones: de la cifra clásica a RSA, y mente detrás de Criptored, de donde han salido proyectos de divulgación de seguridad informática y seguridad de la información como Intypedia o el Proyecto Thoth, también lleva desde hace años organizando un ciclo de conferencias en la Escuela Técnica Superior de Ingeniería de Sistemas Informáticos ETSISI, del Campus Sur de la Universidad Politécnica de Madrid, llamado TASSI (Temas Avanzados en Seguridad y Sociedad de la Información). Este ciclo, además de ser para los alumnos de la escuela, es de libre acceso, así que cualquiera puede aproximarse y disfrutar de las charlas.

Figura 1: XII Ciclo de Conferencias TASSI de Seguridad Informática

En esta ocasión, el ciclo está compuesto de 7 conferencias que comenzarán a impartirse a partir de próximo 11 de Febrero de este año en Madrid. El programa, que está disponible de forma detallada en la web del ciclo de conferencias XII TASSI, es el siguiente:

Jueves 11 de febrero de 2016
Conferencia 1: El Malware en Dispositivos MóvilesPonente: D. Juan Antonio Calles (KPMG Asesores - Flu Project) 

Jueves 18 de febrero de 2016
Conferencia 2: Montando un Escenario de Hacking IPv6 por 2 €Ponente: D. Rafael Sánchez (Eleven Paths) 

Jueves 25 de febrero de 2016
Conferencia 3: Hardware Hacking Aplicado a la Seguridad: Arduino y RoutersPonentes: D. David Meléndez y D. Óscar Tébar (Albalá Ingenieros e Innotec) 

Jueves 3 de marzo de 2016
Conferencia 4: Técnicas de Evasión de Antimalware y Canales Encubiertos
Ponentes: D. Pedro Sánchez (Conexión Inversa) 

Jueves 10 de marzo de 2016
Conferencia 5: Fast & Furious Incidente Response con PowerShell
Ponente: D. Juan Garrido (Innotec System) 

Jueves 17 de marzo de 2016
Conferencia 6: Jugando con SDRs - Gasta Poco - Escucha Mucho
Ponente: D. Carlos García (Autónomo) 

Jueves 7 de abril de 2016
Conferencia 7: De la Mano: Transformación Digital y Seguridad TIC
Ponentes: D. Luis Miguel Rosa (CIONET)

Cómo podéis ver, hay charlas dedicadas al malware, a las técnicas de análisis forense, al Software Defined Radio, a las técnicas de hacking IPv6 de mano de nuestro compañero Rafa de Eleven Paths o al hardware hacking. Una oferta interesante para estar al día en la tecnología, desde luego.

Figura 2: Todos los jueves de 11:00 a 13:00 en la Sala de Grados

Además de esto, en la Universidad Carlos III va a tener lugar también un ciclo de conferencias y cursos este año, donde nuestro compañero Fran va a impartir un taller de Sinfonier para explicar cómo hacer topologías de ciberseguridad, que podrías utilizar para conseguir llevarte uno de los premios de 3.000 USD del Sinfonier Community Contest.

Figura 3: Taller de Sinfonier Project en Leganés

Con estas actualizaciones, la agenda del mes de Febrero para Seguridad Informática queda mucho más completa de lo que os anuncié inicialmente, así que he actualizado el post con la lista de los eventos, conferencias y cursos de seguridad informática & hacking para Febrero del 2016 en los que puedes participar.

Saludos Malignos!

Tenemos 14.000 USD en BitCoins, un iPad Air 2 y libros de 0xWord en premios por tus proyectos de seguridad

Como ya sabéis, tenemos abierto el Latch Plugin Contest 2015 y el Sinfonier Community Contest hasta el próximo día 15 de Febrero de 2016. Para los ganadores tenemos un total de 14.000 USD en premios que daremos en BitCoins. Una nada desdeñable cantidad de dinero por un hack que hagas con Latch o Sinfonier.

Figura 1: 14.000 USD en BitCoins, un iPad Air 2 y libros de 0xWord de premios

Lo bueno de este concurso es puedes participar con tus proyectos de fin de carrera, con tus proyectos de fin de master, con tus hacks de casa, con implementaciones que te sirvan para tu trabajo, etcétera. Cualquier buena idea que hagas será bienvenida.

Latch Plugin Contest 2015

Con Latch puedes integrarlo en el mundo del IoT - no solo para proteger la hucha - o en el mundo de la fortificación de sistemas, como hacía nuestro compañero Pablo González hace poco con una implementación de sistemas de Port-Knocking protegido con Latch, tal y como puedes ver en el siguiente vídeo.

Figura 2: Vídeo demostrativo del funcionamiento de Latch & Port-Knocking

Buscamos originalidad, calidad en el código, impacto en la comunidad, etcétera, y seguro que puedes aportar grandes ideas.

Figura 3: Latch Plugins Contest 2015

Además, si estás buscando trabajo, todo lo que aprendas haciendo el proyecto, además del resultado final, te servirá de buena carta de presentación - sobre todo si nos envías el CV para trabajar con nosotros -.

Sinfonier Community Contest y Hackathon en Granada

En este caso, hasta el 15 de Febrero de 2016 puedes participar también en el Sinfonier Community Contest, donde se darán dos premios de 3.000 USD a la mejor Topología de seguridad, y al mejor Bolt implementado para el proyecto.

Figura 4: Sinfonier Community Contest'15

Tienes información sobre el proyecto Sinfonier en la Comunidad de Eleven Paths. Puedes hacer cosas tan curiosas como el análisis de las redes WiFi inseguras de México, tal y como se ve en este vídeo.

Figura 5: Visualización del resultado de un Topología de Sinfonier

Si no te ves con conocimientos suficientes para participar en esta prueba de Sinfonier, puedes venirte el próximo 15 y 16 de Febrero al Hackathon que se realizará en la ETSII de Granada donde podéis participar también en la prueba para ganar un iPad Air 2 y 4 libros de 0xWord que se van a entregar allí.

Figura 6: Hackathon Sinfonier ETSII UGR

No hay mejor forma para aprender que haciendo cosas. No hay mejor carta de presentación para un trabajo que un proyecto tuyo que puedas enseñar. No hay mejor regalo que el camino de aprender. Tienes dos semanas que puedes utilizar para participar en cualquiera de estas tres pruebas. ¡Ánimo!

Saludos Malignos!

Latch e IoT: Una hucha protegida por biometría & Latch

A finales del año pasado fuimos invitados a participar en un hackaton de Open Bank en el que se había elegido como tema principal el mundo de IoT (Internet of Things). En Eleven Paths, ya habíamos hecho muchas cosas en este ámbito utilizando las tecnologías Latch y Sinfonier, así que nos animamos a estar allí con una conferencia y con un taller en los que enseñamos el tipo de cosas que se pueden hacer usando nuestras tecnologías.

Figura 1: Latch e IoT: Una hucha protegida por Biometría & Latch

Para ilustrar mucho mejor todo esto, nuestro compañero Jorge Rivera decidió crear un prototipo nuevo utilizando como Prueba de Concepto una hucha con dispensador de monedas. El funcionamiento de esta hucha es bastante sencillo, ya que tiene un sistema que se activa para dispensar monedas, pero no está protegido correctamente por todo el mundo, así que había que securizarlo utilizando biometría de huella dactilar y Latch como 2º Factor de Autorización.

Figura 2: Una hucha protegida por biometría dactilar y Latch con 2º factor de autorización

El sistema que se implementó es bastante sencillo, y está basado en un lector de huella dactilar que activa el dispensador de monedas cuando reconoce al usuario. Además es multiusuario, lo que permite que cada usuario tenga una configuración distinta de seguridad en Latch. En esta demostración se han implementado dos sistemas de seguridad distintos con Latch para dos usuarios distintos - representados en el vídeo con dos dedos distintos -. Todo ello, controlado con una placa Arduino que se encarga de gestionar la lógica y el control de Latch. Este es el código que se ha implementado utilizando el SDK de Latch para C.

Figura 3: Código en C para controlar la autorización en la hucha con Latch

El primero de ellos cuenta con un sistema de validación en OR. Es decir, supongamos que la hucha puede ser abierta para un hijo si lo aprueba uno de los dos tutores legales que se representan por los dos terminales móviles que se ven. El segundo usuario tiene una configuración más restrictiva, y necesita que los dos tutores aprueben la dispensación de dinero, con una política AND, conocida como Two Keys Activation.  En Hackplayers hicieron un ejemplo de esto con demonios que protegían el acceso a ficheros.

Figura 4: Activación de acceso al activo por validación de 2 latches

Esta demostración de cómo utilizar Latch en una hucha es válida para sistemas, por ejemplo, de dispensación de comidas para animales o para un entorno de dispensación de medicamentos para enfermos a los que se puede racionar el acceso a los medicamentos por medio de un sistema como el que se ha descrito para la hucha. En el vídeo se ven los dos ejemplos.

Figura 5: Control de acceso a una hucha con biometría y Latch

Además, con el nuevo registro de log en Latch, se podría saber exactamente cuántas veces y en qué momento se ha solicitado la dispensación de monedas, comida o medicinas del sistema, lo que ayudaría a tener más datos de la situación. 

Figura 6: Nuevo registro de Latch que controla todos los intentos y todos los accesos

No es esta la primera vez que se integra Latch en sistemas IoT, y ya os he contado en el pasado muchos ejemplos. Aquí os dejo los vídeos de Latch integrado en otros sistemas físicos que pueden ser útiles para vuestros entornos.

Figura 7: Control de un cerrojo físico con Latch

Figura 8: Control de un timbre con Latch

Figura 9: Control de una placa Intel Edison con Latch & Sinfonier

Figura 10: Control de un bot de Telegram con Latch y Sinfonier

Figura 11: Control de acceso a concentradores de SmartGrids protegidos con Latch

Figura 12: Control con Latch del acceso a un Laboratorio de la Universidad

Figura 13: Control de una placa BlueTooth con Latch

Figura 14: Control de llamadas en una centralita Asterix con Latch
Como veis, las posibilidades son muchas, y si se te ocurre alguna más, puedes presentarla a nuestro Concurso de plugins de Latch y ganar hasta 5.000 € en BitCoins, que hemos extendido el plazo hasta el 15 de Febrero de este año. Puedes acceder a más información y soporte sobre cómo participar en nuestra Comunidad Técnica de Eleven Paths. ¡Ánimo!

Saludos Malignos!

"Desenmascarar" cuentas de Twitter a través de Sinfonier

Cuando hablamos de que todo el mundo publica información personal nos viene a la cabeza Facebook o Twitter, estas dos redes tienen la facilidad de exponer nuestros puntos de vista u opiniones de manera muy rápida, pero también tiene un problema, que los usuarios que están detrás de estas cuentas algunas veces - sobre todo cuando tienen alguna actividad "peligrosa" - suelen ser bastante anónimos, falsean los datos o los tienen como privados para que solo un grupo de amigos restringido puedan verlos.

Figura 1: Cómo "desenmascarar" cuentas de Twitter a través de Sinfonier

¿Qué es lo que hemos intentado en Sinfonier? Relacionar varias redes sociales para comprobar si los datos facilitados son reales, crear vínculos entre las cuentas para después poder identificar al usuario a través de descuidos en cuentas relacionadas o ver si las relaciones con personas son iguales o distintas entre las diferentes redes sociales. Al final, con esta información se puede llegar a hacer el doxing de una persona, para acabar en a una cuenta que contenga asociado un número de teléfono o una dirección de correo electrónico atribuible a una identidad real, en lugar de una cuenta ficticia en una red social.

Para conseguir este objetivo vamos a utilizar otras redes sociales para lograr crear estas relaciones. Como fuente inicial de información utilizaremos el Spout de Twitter que tenemos disponible en Sinfonier, pero podríamos empezar por otra red social. En este caso se supone que se quiere sacar toda la información asociada a una cuenta de Twitter de la que no se sabe quién está detrás. En los Tweets que nos vaya devolviendo pueden aparecer enlaces a otras redes a través de las URLs publicadas, en este caso nos centraremos en dos: Youtube y Soundcloud.

Figura 2: Información de la API de Youtube

En primer lugar, ¿por qué YouTube? muy sencillo, te proporciona toda la información que tiene disponible y además con un número de peticiones a la API muy por encima de lo normal  - 50 millones de peticiones a día -. Además te permite también hacer búsquedas complejas de vídeos. Con todo esto, tenemos una mina de oro de información disponible. Si quieres monitorizar un canal concreto puedes hacerlo con los módulos (Spouts) que hemos creado son los siguientes:

Figura 3: Spouts para Youtube en Sinfonier

Estos dos módulos son de búsqueda y se diferencian en la cantidad de parámetros que se le introducen. Los valores de entrada son los siguientes. Para más información Developers Youtube:

● query - El parámetro que especifica el término de consulta que se debe buscar.
● type - channel | video | playlist
● order - date | relevance | rating | title | videoCount | viewCount
● apiKey - Nuestra apiKey
● MaxResults - Hasta un máximo de 50 por página
● frequency - Segundos entre cada petición
● safeSearch - moderate | none | strict
● publishedAfter - publicado despues de (YYYY-MM-DDTHH:MM:SSZ)
● publishedBefore - publicado antes de (YYYY-MM-DDTHH:MM:SSZ)
● videoDuration - any | long | medium | short
● location - Define un área geográfica circular y también restringe la búsqueda a los vídeos que especifican, en sus metadatos, una ubicación geográfica que cae dentro de esa área. Ejemplo (37.42307=-122.08427)
● locationRadius - El valor del parámetro debe ser un número de punto flotante, seguido de una unidad de medida. Unidades de medida válidos son m, km, pies, y mi. Por ejemplo 5km.

Por otro lado los siguientes módulos nos dan la capacidad de poder buscar todos los detalles relacionados con un canal o vídeo.

Figura 4: Bolts de extracción de información de YouTube en Sinfonier

Con estos módulos podemos crear las relaciones de las que hemos hablado anteriormente, a partir de un vídeo podemos ver quien lo ha subido o si tiene comentarios, a su vez este canal puede tener más vídeos, o podemos ver que resultados nos devuelve YouTube al hacer una búsqueda de vídeos relacionados, las posibilidades son enormes.

Pero, ¿cómo podemos saltar de uno a otro? Pues gracias a que en la respuesta que nos devuelve cada Bolt nos proporciona esa información. Esta sería la respuesta de YoutubeVideoInfo: Como vemos, tenemos el channelId con el que preguntar por la información usando el módulo de YoutubeChanneInfo.

Figura 5: Información extraída de Youtube

Y en este nos aparece otro identificador importante, con el cual vamos a dar el salto a otra red social, Google+.

Figura 6: Datos de la cuenta Google+

Ahora que tenemos el identificador, simplemente usamos el nuevo módulo para Google+ que recoge la información de un usuario y la podríamos contrastar con la encontrada anteriormente.

Figura 7: Bolts para Google+ en Sinfonier

La información que nos devuelve puede ser de lo más extensa, dependiendo de lo que el usuario haya dejado público o se haya olvidado de eliminar en la cuenta que ya no recordaba.

Figura 8: Información relativa a Blogger

Incluso en estos datos o en los recogidos por ejemplo en comentarios de YouTube podemos encontrarnos con enlaces a blogs de blogger. Para estos casos hemos preparado cinco módulos para extraer información. Con toda esta información nos podemos crear un mapa de entidades virtuales y relacionarlas.

Figura 9: Bolts para Blogger en Sinfonier

Otro caso interesante es el de SoundCloud, una red social donde lo que se comparte es música, y esta aparece también publicitada en tweets que hemos recogido anteriormente, por lo que podríamos buscar también información en otra red social a partir de esos elementos de enlace que nos aparecen en las URL de tweets al igual que en YouTube.

Para esta red social tenemos un par de módulos que nos darán la información que contenga la canción que se ha publicitado y la de usuario que la sube, más información en developers SoundCloud.

Figura 10: Módulos para SoundCloud en Sinfonier

Y como podemos ver la cantidad de información que generamos y lo conectada que está, pudiendo crear un modelo para una o un grupo de personas con parámetros similares. En la siguiente imagen vemos a modo de ejemplo la información a partir de un tweet.

Figura 11: Mapa de relaciones sociales creado a partir de una cuenta de Twitter

Como podéis ver la información es mucha y muy variada. Además, si esto lo automatizamos podemos lograr muchos más perfiles y además relacionados y centrarlos en una temática, dependiendo de la fuente de información inicial, todo ello en Tiempo Real.

Figura 12: Dashboard de vigilancia de actividad en redes sociales creado con Sinfonier

El gráfico anterior es un ejemplo de la salida de todo esto sobre un dashboard que creamos para el último MeetUP de Sinfonier sobre Ciberterrorismo. Con él hemos creado un mapa de relaciones de redes sociales al que podríamos sumar la información de la geolocalización de los tweets, la información de los metadatos de las imágenes vinculadas, o lo que se quisiera. Toda la información sería útil para intentar descubrir quién está detrás de una determinada cuenta de Twitter o quiénes son sus contactos. Detrás está corriendo una topología similar a la siguiente:

Figura 13: Topología de Sinfonier para la creación de este Dashboard

Como hemos dicho, este trabajo lo presentamos @pejema44 y @Macario8 y esperamos que os guste y podáis sugerirnos nuevas ideas para implementar o redes sociales de las que extraer y relacionar información. Recordad que ahora tenéis activo un concurso en el Sinfonier Community Contest por el que podéis ganar 3.000 USD por vuestra topología de ciberseguridad o por vuestro Bolt. En la Comunidad de Eleven Paths tenéis toda la información disponible sobre el concurso y además podréis preguntar y aportar en la sección dedicada a Sinfonier donde esperamos que puedas resolver tus dudas con el uso de esta tecnología. Por supuesto, lo mejor es que te leas el libro de Sinfonier para la generación de ciberinteligencia de seguridad.

Autor: Miguel Hernández Boza