lunes, 23 de febrero de 2015

X1RedMasSegura en RootedCon

Según he podido leer tanto en Flu-Project como en el blog de Angelucho, y en Security by Default, la organización de X1RedMásSegura estará presente en la próxima RootedCon 2015.

Hoy en día es muy necesario que todo el mundo entienda los peligros y el funcionamiento de las tecnologías. Por eso, desde la organización, hacen un esfuerzo para que los más vulnerables, entiendan dónde se encuentran los peligros, si es que los hay, y cómo actuar ante ellos.

Todo el mundo es bienvenido: los nativos digitales, que son vulnerables por su corta edad, y que no tienen la suficiente madurez para saber cómo actuar ante ciertas situaciones. Los no-nativos digitales, que tienen que comprender que hay ciertas situaciones en el mundo digital que también tienen sus peligros, tanto para ellos, como para los jóvenes a los que tienen a su cargo. Para que estos adultos puedan enseñar el correcto uso de las tecnologías a estos adolescentes.

De todo ello se encarga la organización X1RedMásSegura. Y mucho más. Si sabes de alguien que pueda estar interesado y que pueda ir, sólo tendrá que visitar los enlaces que he puesto más arriba y les deseo que esas jornadas les sean de mucha utilidad.


lunes, 16 de febrero de 2015

Review: Pentesteing con Kali

Hacía tiempo que tenía este libro. Pero con lo típico que los vas acumulando y después te retrasas en empezarlos, pues hasta hace unas pocas pocas semanas no he podido leérmelo.

En esta ocasión, me he terminado este libro en relativamente poco tiempo. He de decir que ha sido una lectura del tirón, por lo que no he me he puesto a probar las cosas que en él se exponen.

o primero de todo, dar mi henorabuena a los autores: Pablo González (@pablogonzalezpe), Germán Sánchez, Jose Miguel Soriano, Jhonattan Fiestas y Umberto Schiavo.

Como suelen hacer en otras ocasiones, la distribución de los capítulos por temática me ha parecido muy acertada. Además, nunca está de más repasar cada una de las partes de las que consta una auditoria, algo que si uno no se dedica profesionalmente a ello siempre se quedan unos cuantos flecos sueltos.

En cada capítulo nos van mostrando, como norma general, el uso de las herramientas de una forma bastante acertada y con bastantes pantallazos. En alguna ocasión muy, muy concreta me dio la sensación de que faltaba alguna captura más, pero sabiendo de qué se trataba yo no hubiera tenido problemas. Y dado que es un libro técnico, casi todo el mundo lo hubiera podido sacar sin apenas problemas.

Hay otro pequeño detalle que tengo sentimientos encontrados. Por un lado, en diversas ocasiones han tirado de BurpProxy. Que a lo mejor había otra herramienta incluida en Kali que podría haber hecho lo mismo. Lo bueno es que, como con Burp sólo he usado para una cosa en concreto y no sabía que fuera tan potente y tuviera tantas cosas, tendré que meterle caña para sacarle más partido. Por lo que sabiendo el nombre de la herramienta para un propósito determinado, con el libro tendré un buen manual de consulta con el que mejorar mis conocimientos de este proxy.

También tenemos un capítulo que lo dedican prácticamente a la explotación de vulnerabilidades con Metasploit. Incluso alguno de los ejercicios era el que nos montaron hace unos cuantos años en el Hands On Lab desde la ya desaparecida Informática64, formación impartida en aquel entonces por Pablo.

Algunas de las cosas que ha conseguido que me acuerde bastante bien, porque me suele dar muchos problemas, es cuando se quiere inyectar SQL y te están filtrando los campos para que no puedas introducir una sola comilla. Siempre que he querido buscarlo no he tenido éxito y aquí he encontrado la solución, que era bastante más sencilla y una (soberana) chorrada: convertir a hexadecimal la cadena que quieres inyectar.

Ciertamente el tener el libro ayuda bastante para saber qué se puede hacer con todas esas herramientas de las que consta la distribución. Como ya he dicho en alguna ocasión, he lanzado Kali para realizar algunas tareas que me hacían falta. Pero alguna que otra vez, sí que me hubiera venido bien saber que ahí las tenía.

Para aquellos que habéis tenido la oportunidad de leerlo: ¿Qué opináis vosotros?

lunes, 9 de febrero de 2015

VSE Vostreran: ProcessExplorer y Autoruns

Por desgracia, no tengo capturas hechas en vivo cuando me tuve que pegar con este riskware.

Recientemente he tenido que hacer una asistencia en la que el equipo, con un Windows 7, nada más entrar, además de pedir la clave de licencia (que ya estaba activada), no mostraba nada más una vez se solicitaba volverla a introducir más tarde.

Una de las primeras cosas que hice fue buscar algún disco de arranque con un antivirus para intentar hacer un análisis rápido. El problema estaba en que el CD era bastante antiguo (mucho), por lo que mientras se perdía el tiempo en descargar todas las actualizaciones necesarias, yo invertí el mío en buscar varias herramientas que me harían falta.

Una de ellas, como no, iban a se las sysinternals. De éstas, casi siempre suelo tirar de dos de sus programas: el process explorer y el autoruns. Además, y no recuerdo si lo hice en esta etapa o ya con acceso al sistema, tuve que hacerme con el programa product key de NirSoft.

Una vez pude pasar el antivirus en modo offline las carpetas del sistema y pude escoger qué eliminaba, o qué dejaba ya estaba más o menos en situación para arrancar el sistema.

Con el sistema arrancado, pero inutilizado, lo único que podía hacer era abrir el administrador de tareas a través de la combinación de teclas Ctrl+Shift+Esc:


Administrador de tareas o task manager: Ctrl+Shift+Esc
Administrador de tareas o task manager: Ctrl+Shift+Esc
Una vez abierto, pude arrancar desde Archivo --> Nueva Tarea una consola:

Nueva tarea: cmd
Nueva tarea: cmd
A partir de aquí, lancé las dos herramientas mencionadas antes. La primera que me puse a mirar fue autoruns. Me permitió desactivar ciertos programas que no tenían por qué lanzarse. 

Autoruns
Autoruns
Entre otros, uno me llamó la atención pero no estaba muy seguro qué era. Se llamaba algo así como vse_vestreran. Me llamó la atención pero no sabía muy bien qué podía ser. Aún así, lo dejé por si las moscas y ya miraría de qué se trataba. Por lo tanto, dejé el sistema lo suficientemente preparado para que no lanzase cosas innecesarias. Pero, aún así, no había atinado con qué hacía que no se pudiera vez nada y no se pudiera trabajar con el equipo.

Por lo tanto, aún teniendo el autoruns lanzado, me propuse mirar qué me mostraba el process explorer. De lo que veía que me parecía sospechoso, lo enviaba a Virus Total por si las moscas. Todos los que enviaba, resultaba que eran "inocuos" (en el sentido de que eso no existe al 100%) o descubría que pertenecía (por la ruta o por el programa del que colgaba) que podía no ser el causante del follón en el que nos encontrábamos. Pero había uno especialmente me volvió a llamar la atención: VSE_Vestreran. Estaba colgando de otros procesos. Recordemos que lo tenía lanzado sin tener escritorio y sólo podía utilizar la consola o lo que ésta me permitiera ejecutar. Así, hice dos cosas, y no recuerdo el orden: enviarlo a Virus Total y matarlo. Ambas acciones dieron sus frutos. Tres o cuatro Unos cuantos motores de antivirus lo catalogaron como riskware:

Resultados en VirusTotal: 8 detecciones
Resultados en VirusTotal: 8 detecciones
Como se puede ver, no lo califican directamente como bicho, sino como adware o riskware. Para mi sorpresa (lo raro es que me sorprenda), es que han aumentado las detecciones. El sábado pasado (el 31 de enero) sólo eran 4. He podido lanzar los tests porque me hice una copia de la carpeta donde se encontraba la ejecución de este programa. Lo que me da es que a lo mejor no terminé de copiar todo. Ya veré. Quiero jugar un poco con este tipo de cosas para poder aprender a hacer mejores análisis de qué cambios hay antes y después de su ejecución. 

Por lo tanto, una vez pude ver que éste sí que me lo podía cargar, tiré otra vez del autoruns para impedir su ejecución en el arranque. Maté su proceso, lo que me permitió ver ya todo el escritorio y poder trabajar mejor, así podría reiniciar y ver que todo marchaba bastante mejor al reiniciar. 

Lo último que hice fue hacerle un repaso al sistema para ver que iba bien, desinstalar todas las cosas que no servían de nada y tirando millas. Soy consciente de que sin un análisis más en profundidad lo suyo hubiera sido reinstalar, por si las moscas. Pero en este caso, prácticamente no lo vi necesario. A parte de que normalmente es otra persona la que le suele hacer ese tipo de tareas. 

De las últimas cosas que hice fue recomendarle un blog en el que podría aprender bastante: Angelucho tendrá otra persona más a la que enseñar los peligros de la red. 

lunes, 26 de enero de 2015

Análisis forense digital en profundidad por Securizame

Hoy, mirando los feeds que tenía pendientes, me he encontrado con que la empresa Securizame, ha vuelto a lanzar la formación que ya inició el año pasado, análisis forense digital en profundidad.

Tiene muy buena pinta y los profesores que formarán a aquellos que se apunten son de gran renombre, entre otros, el mismo fundador de la empresa, Lorenzo Martinez (@lawwait), Juan Garrido (Juanito, @tr1ana), Pedro Sánchez (@ConexionInversa)...

Según informan, el horario será de 16 a 18, hora peninsular. Aún así, también indican que las sesiones se grabarán para aquellos que no las puedan ver en directo, ya que se emitirán a través de la plataforma WebEx.

Como de costumbre en este tipo de informaciones, recuerdo que no este medio no es oficial y que para verla, habrá que visitar el enlace indicado.

miércoles, 14 de enero de 2015

RootedCon 2015

Ayer llegó un correo en la lista de la RootedCon en el que se nos informaba que abrirían las inscripciones al evento del presente año.

Parece ser que ya avisaron algo días antes por otras redes sociales, pero como no todos las estamos avisando, menos mal que nos han dado un toque desde la lista. Además, ya han avanzado algunos de los ponentes:


  • Raul Siles
  • Hugo Teso
  • Jorge Bermúdez
  • Andrzej Dereszowski
Esto tiene muy buena pinta. A ver si nos da tiempo a comprar las entradas. 

Para la información oficial, ya sabes.

¡No te quedes sin asistir!

lunes, 12 de enero de 2015

Contraseñas guardadas en claro

Recientemente me han llegado una serie de correos de spam un tanto extraños. Pero, por ciertas circunstancias, resulta que por el asunto de los mismos me eran muy familiares. Sobretodo porque también venía una descripción de cosas que hice hace bastantes años. Además, también estaba incluido el nombre del servicio que utilicé en su momento.

El tema es que eran unos foros de esos gratuitos que podías incluir en tus páginas. Por lo que después de echarles un vistazo y los contenidos no me sonaban de nada. Nada de nada. Aún así, yo sabía que tuve foros relacionados con los títulos de estos foros. Por lo que me propuse acceder al panel de control.

Mi primer problema: ni idea de qué usuario y contraseña utilicé por aquel entonces. Por lo tanto, mirando a qué dirección de correo me había llegado, me propuse a solicitar un reseteo de la contraseña. Lo solicito, y... ¿Os podéis imaginar qué me encuentro? Seguro que por el título os lo imaginaréis: La contraseña completamente en claro. ¡Increible!

Lo primero que quiero hacer es quitarme estos foros de encima (para que ya no llegue spam) y eliminar la contraseña de una vez por todas. Si me puedo quitar la cuenta, mucho, mucho mejor.

Lo que no me puedo creer es que a estas alturas, aún siga habiendo servicios que estén funcionando y no metan las contraseñas en una cripta, (¿flame, cuando hasta hace unos pocos años atras yo dudaba de cuál era la correcta?) cifren las contraseñas.

Si tuvieras que contar cuántos servicios conoces que también las guardan así, sin meditarlo: ¿cuántos dirías? Por favor: seamos responsables y no demos nombres.

viernes, 9 de enero de 2015

HangOutOn: Seguridad esencial en Android

Ayer jueves 8, se hizo un hangout por parte de HangoutON, en el que moderaban Yolanda Corral (@yocomu) y Antonio Postigo (@antoniogestion).

Los participantes, unas joyas:


A las preguntas de las formas de securizar, unas pinceladas de qué se puede hacer para tener los dispositivos seguros, eran, por ejemplo, el tener cuidado con las redes wifis a las que se accede, o los lugares donde descargarse las aplicaciones o, aunque aquellos markets sean oficiales, asegurarse de que la aplicación que se quiere descargar no es una falsa.

Además, también se ha hablado no sólo de móviles, sino también de otros dispositivos como, por ejemplo, las tablets. Independientemente de los dispositivos, el tener cuidado con cómo se configura el dispositivo para que los niños lo puedan usar de manera segura.

Más ejemplos: el soporte multiusuario que permite que ciertos usuarios no puedan hacer determinadas acciones.  Una aplicación que han propuesto es Knox, si bien otro ponente (Edu, si no recuerdo mal), ha indicado que parece ser que se ha encontrado un bug que permitiría saltárselo.

Una comparación que también han hecho es comparar las tables y su uso por los niños con dejarle al crio un Ferrari cuando no ha conducido nunca.

Se han hecho preguntas como, por ejemplo, ¿realmente hace falta un antivirus en el móvil?¿Cómo es de eficaz? Josep, que trabaja para ESET, reconoce que hacen bastante bien su trabajo, aunque no sean capaces de parar un 100% de las amenazas.

Se han nombrado otras aplicaciones como Prey y Cerberurs, cuya funcionalidad es la misma: poder acceder al móvil en remoto si este fuera robado.

Se ha podido ver que cada uno de los participantes indicar que algunas temas los puede tratar otro de sus compañeros.

Después de que se me cortase la conexión, he llegado cuando estaban hablando de los tap jacking.

Han respondido las preguntas de distintas preguntas.

Y ahí lo he dejado, no he podido continuar mucho más.

La verdad, el formato me ha gustado mucho. He podido ir escribiendo este post mientras que se estaba realizando el evento. Espero poder repetir, aunque sea un rato, otros HangoutsON.