jueves, 31 de enero de 2013

Vamos a ~

Hace poco me re-envié un tweet que decía algo así como...
HackToon! (@hacktoon) twitteó a las 5:27 p.m. on mar, ene 22, 2013: Porque o til "~" é o símbolo para a home do usuário no Unix: http://t.co/AGxTIuGk(https://twitter.com/hacktoon/status/293756720650543105)
Y, ahí está la respuesta. Resulta, que en los teclados para los terminales Lear-Siegler ADM-3A, tenían una tecla (justo donde ahora podemos ver la de backspace), que ponía Home, ~ y ^ (siempre según las imágenes que podemos ver en los enlaces aquí presentes).

Por lo tanto, cada vez que queramos ir a casa, podríamos resumirlo en vamos a ~. Un gran ahorro de 3 caracteres si hiciese falta apurar.

miércoles, 30 de enero de 2013

Analizando URLs

Este post lo voy a escribir sin haber visitado la mayoría de los enlaces que voy a poner aquí. Fundamentalmente, servirá más como base de datos de sitios que hacen un análisis más o menos exhaustivos de las URLs que queremos analizar, que como manual (a una mala, lo podré usar incluso para hacer alguna tipo de review de los distintos sitios que muestre aquí).

¿Cómo he llegado a estos enlaces? A partir de una consulta en la lista de distribución de la RootedCon. Han hecho una consulta:

"VirusTotal [...] da la sensación de que lo único que hace es consultar bases de datos de urls infectadas de terceras empresas (ZeusTracker, Yandex.ru, etc) y no una descarga y análisis del contenido en tiempo real"
 Y la comunidad ha hablado. Estos son los enlaces de los posibles sitios que nos podrán ayudar a analizar la URL y ver, por ejemplo, si se descarga algún binario o similar (serviría, por ejemplo, para analizar la URL que puse de ejemplo el otro día).
  • Anubis: Según he leído, usan un navegador para ver si se baja algo malo maloso.
  • malwr:  Aunque lo incluyo, me da la sensación de que es más un VirusTotal que el tipo de analizador del que estamos hablando.
  • Sucuri SiteCheck: Scanner basado en firmas.
  • IronPort Web and Mail security y RobTex: Según el comentario que han puesto, "sin análisis pero útiles". 
  • Web Page Test: Nos lo han mencionado. Así, a simple vista, como mínimo permite indicarle, además de la URL, con qué navegador quieres que haga la simulación y el lugar desde donde se hace. 
  • Honey Spider: En este caso, según he podido desprender de la página informativa, es una aplicación que hay que instalar en el equipo. La verdad, y a mi modo de ver, no la habría incluido aquí (no diré nunca de este agua beberé). Aún así, si a alguien le interesa...
  • URLQuery: Tal y como describen nada más llegar, urlQuery.net is a service for detecting and analyzing web-based malware. It provides detailed information about the activities a browser does while visiting a site and presents the information for further analysis
  • URLVoid: Se basa, entre otras cosas, por los resultados de motores de reputación, listas negras...
  • Browser Scan (Propuesto hace unos días por Flu-Project): Este realmente mira si nuestro navegador y sus plug-ins están actualizados. 
Por último, nos han nombrado este sitio y un post de sysinterals o, uno de S21Sec, que tienen una recopilación de enlaces, entre los que se incluirán algunos de los aquí mostrados.

Si conocéis más, por favor, dejadlas en los comentarios. ¡Muchas gracias!

lunes, 28 de enero de 2013

MSF en Informática 64

La semana pasada, los días 21 y 22 de este mes de enero, me cogí unos días libres para ir a la formación de metasploit que se daba en las oficinas de Informática 64.

Como la mayoría de las veces, este tipo de herramientas puede tener dos enfoques en lo que a su uso se refiere:

  • El primero, y para lo que está concebida, en teoría, que sería para realizar auditorias y tests de intrusión (penetration tests)
  • El otro, resumiéndolo mucho: para realizar maldades y comportarse de una forma muy, muy poco ética.
Como siempre, en este blog se quiere buscar el uso ético de los conocimientos y descubrimientos que se van adquiriendo. O, en su defecto, saber las posibles maldades que nos pueden hacer y cómo se podrían (si es que se puede) resolver. Vamos, nada que alguien con un poco de cabeza no necesita que se le diga. 

Bueno. Que me disperso (como de costumbre). 

Era la primera vez que arrancaba de verdad una de las herramientas de las que consta el framework: el msfconsole. De hecho, tendría que haberla lanzado cuando me leí el libro de metasploit, escrito por Pablo González, y que la empresa publicó.

Lo primero que se hizo fue una presentación de qué constituía el framework, con la misma presentación en power point que nos puso en el Asegur@IT Camp4, (está muy bien reutilizar, esa parte era teoría).

Después de la teoría, se empezó con lo bonito: lanzó el msfconsole y se buscó un exploit de Windows XP bastante conocido: el MS08_067_netapi. Según tengo entendido, bastante conocido por los que llevan un tiempo en este mundillo. 

Una vez nos mostró cómo utilizar, en general, alguno de estos exploits, como el mencionado aquí, cada uno de los cinco participantes que estábamos apuntados intentamos hacer lo mismo desde nuestras máquinas virtuales. Unas veces con más éxito que otras (todo sea dicho).

Y... más o menos, el primer día se quedó en eso, en el haber podido acceder al equipo "víctima" y haberle hecho alguna que otra barrabasada. 

¿Qué hicimos el segundo día? El segundo día, aprovechando el mismo exploit nos lanzamos a hacer algo más: lo que se llama pivoting. A todos los efectos, se trata de ver qué podemos encontrar a través del equipo vulnerado e intentar aprovecharse de esta circunstancia para vulnerar algún equipo vecino al que no podríamos acceder sin habernos colado en el primero. Y así, podríamos hacerlo sucesivamente. 

¿Qué más vimos? Vimos cómo preparar un servidor web para que todo aquel que cargue la URL establecida, se le empiecen a cargar vulnerabilidades, probando a ver si funciona una a una, hasta que podamos cantar "bingo!" con alguna de ellas. Para conseguirlo, haría falta obligar a la(s) victima(s) a acceder a la URL, ya sea por un iframe oculto, o por una URL acortada, o incluso, poniendo un enlace y decirle que podrá ver un montón de pr0n gratis (eso siempre funciona, pero en este caso, siento mucho que os haya enviado al about:blank [contadme cuántos de vosotros le habéis dado sin pensar al enlace]). Una de las cosas que hicimos fue buscar el exploit de, en su momento, 0day de java que salió hace unas pocas semanas. 

También hicimos un ejercicio de búsqueda. Teniendo un equipo accesible, vimos los servicios que tenía instalados, y localizamos que uno de ellos era vulnerable. Se hizo una búsqueda por google, se localizó qué vulnerabilidad era, y nos la bajamos de exploit-db (¿o nos bajamos de este el de java?) para actualizar el framework sin tener que lanzar el msfupdate (que añade y elimina cosas sin un control por nuestra parte).

La verdad, lo disfruté mucho. Quiero seguir jugando con las máquinas virtuales. Creo que haré alguna cosa de estas y las publicaré, sin importarme que ya sean del todo conocidas. 

Si os gustan estas cosas, creo que disfrutaréis mucho si hacéis esta formación la próxima vez que la hagan. 

domingo, 27 de enero de 2013

GDT: Capitán César Lorenzana

A través de la lista de correo de la Rooted, me ha llegado el enlace de una cadena de radio que le ha hecho una entrevista al Capitán César Lorenzana, del Grupo de Delitos Telemáticos de la Guardia Civil. 

Como pequeña referencia, aquí os lo dejo. 

He de decir que ya le conocía de alguno de los eventos a los que he asistido. Y son muy, muy buenos. 

Espero que la disfrutéis. 

martes, 15 de enero de 2013

Mentiras, mentiras...

Leyendo los fresafeeds atrasados, me encuentro con lo siguiente: ¿quién quiere fabricar una bomba nuclear?
Grandes mentiras de nuestro tiempo

lunes, 14 de enero de 2013

Blug en Android

Si os preguntáis qué es blug me lo acabo de inventar. Es una mezcla muy rebuscada que he querido montar para indicar un blogger bug. En este caso, en Android.

¿En qué consiste? Son dos.

El primero, si se te olvida poner un post sin título, no lo muestra en el listado de publicados (y, posiblemente, tampoco aparezca en borradores).

El otro, no menos importante, si tienes borradores con una fecha futura, no aparece en el listado.

Y,  esto de que no vea las imágenes que quiero subir, como son los pantallazos...

Rooted 2013: Periodo de inscripción abierto

Tal y como comentamos hace una semana, hoy, 14 de enero de 2013, se abre el periodo de inscripción para adquirir las entradas para la RootedCon de este año.

Recordemos que si se quiere el descuento como estudiante, hay que acreditarlo con la matricula en vigor de este año. Y teniendo estas condiciones no se tendrá derecho a la emisión de una factura.

De todas formas, cualquier cosa que se diga aquí será en términos generales y no es oficial. Tendréis que tener en cuenta aquello que se informe en los canales oficiales.

¡¡¡Espero veros allí!!!

lunes, 7 de enero de 2013

Blogger y sus plantillas para móvil II

Lo primero de todo: Espero que los reyes hayan sido muy, muy buenos!!

Con un enlace de kinomakino en un tweet suyo
kinomakino (@kinomakino) twitteó a las 2:00 p.m. on vie, ene 04, 2013: http://t.co/OGEeaHL5 (https://twitter.com/kinomakino/status/287181662574497792) Consigue la aplicación oficial de Twitter en https://twitter.com/download
 he podido descubrir cómo se hace para que a la hora de abrir el blog desde el navegador del móvil se abra la plantilla móvil de la que hablé hace un tiempo.

Plantilla vista desde el móvil
Plantilla vista desde el móvil
¿Qué hay que hacer para poder ver desde el móvil esta plantilla? Lo que hay que hacer es poner al final de la URL ?m=1 y ya se nos mostrará con esa plantilla:

Llamando desde el navegador
Llamando desde el navegador
Donde esta es la página principal, se podría hacer poniendo al final del .html de un post en concreto y también funcionaría.

Ahora, me surge la pregunta: ¿Qué sucedería si lo hiciera desde un PC?

Llamada dede un navegador Chrome en PC
Llamada dede un navegador Chrome en PC
También funciona.

Si en vez de poner un 1 (uno) pusiésemos un 0 (cero), se pondría la plantilla por defecto.

¿Qué utilidad tiene esto? A ver. En un PC ninguna. En un móvil, si no se está viendo el contenido desde un lector de feeds, ayuda a la lectura. Pero bueno. Recordemos la muy saludable... ¿discusión (un comentario odos cada uno)? que mantuvimos fossie y yo con respecto a si hoy en día era bueno o conveniente mantener dos plantillas o no lo era. 

Por lo tanto, el misterio de cómo se hacía funcionar estas plantillas ya se ha resuelto. :)



Boletín de MS para hoy martes 7 enero 2013

Desde Hispasec una al día:

Microsoft publicará siete boletines de seguridad, sin corregir el 0day de Internet Explorer.

viernes, 4 de enero de 2013

Entradas para las Rooted 2013

Según el contenido del enlace del tweet de la RootedCON, el próximo día 14 de enero abren el plazo para comprar las entradas para el evento.

Mucho ojo: para el que diga que es estudiante y tener descuento, hay que llevar la matrícula. No permitirán el carnet de estudiante y tampoco le emitirán factura. Aún asi, lo oficial es el contenido del enlace.

Rooted CON (@rootedcon) twitteó a las 3:43 p.m. on vie, ene 04, 2013: Fechas para la apertura del registro y compra de entradas #rooted2013 http://t.co/HzQbisOB (https://twitter.com/rootedcon/status/287207753158643713) Consigue la aplicación oficial de Twitter en https://twitter.com/download