lunes, 23 de febrero de 2015

X1RedMasSegura en RootedCon

Según he podido leer tanto en Flu-Project como en el blog de Angelucho, y en Security by Default, la organización de X1RedMásSegura estará presente en la próxima RootedCon 2015.

Hoy en día es muy necesario que todo el mundo entienda los peligros y el funcionamiento de las tecnologías. Por eso, desde la organización, hacen un esfuerzo para que los más vulnerables, entiendan dónde se encuentran los peligros, si es que los hay, y cómo actuar ante ellos.

Todo el mundo es bienvenido: los nativos digitales, que son vulnerables por su corta edad, y que no tienen la suficiente madurez para saber cómo actuar ante ciertas situaciones. Los no-nativos digitales, que tienen que comprender que hay ciertas situaciones en el mundo digital que también tienen sus peligros, tanto para ellos, como para los jóvenes a los que tienen a su cargo. Para que estos adultos puedan enseñar el correcto uso de las tecnologías a estos adolescentes.

De todo ello se encarga la organización X1RedMásSegura. Y mucho más. Si sabes de alguien que pueda estar interesado y que pueda ir, sólo tendrá que visitar los enlaces que he puesto más arriba y les deseo que esas jornadas les sean de mucha utilidad.


lunes, 16 de febrero de 2015

Review: Pentesteing con Kali

Hacía tiempo que tenía este libro. Pero con lo típico que los vas acumulando y después te retrasas en empezarlos, pues hasta hace unas pocas pocas semanas no he podido leérmelo.

En esta ocasión, me he terminado este libro en relativamente poco tiempo. He de decir que ha sido una lectura del tirón, por lo que no he me he puesto a probar las cosas que en él se exponen.

o primero de todo, dar mi henorabuena a los autores: Pablo González (@pablogonzalezpe), Germán Sánchez, Jose Miguel Soriano, Jhonattan Fiestas y Umberto Schiavo.

Como suelen hacer en otras ocasiones, la distribución de los capítulos por temática me ha parecido muy acertada. Además, nunca está de más repasar cada una de las partes de las que consta una auditoria, algo que si uno no se dedica profesionalmente a ello siempre se quedan unos cuantos flecos sueltos.

En cada capítulo nos van mostrando, como norma general, el uso de las herramientas de una forma bastante acertada y con bastantes pantallazos. En alguna ocasión muy, muy concreta me dio la sensación de que faltaba alguna captura más, pero sabiendo de qué se trataba yo no hubiera tenido problemas. Y dado que es un libro técnico, casi todo el mundo lo hubiera podido sacar sin apenas problemas.

Hay otro pequeño detalle que tengo sentimientos encontrados. Por un lado, en diversas ocasiones han tirado de BurpProxy. Que a lo mejor había otra herramienta incluida en Kali que podría haber hecho lo mismo. Lo bueno es que, como con Burp sólo he usado para una cosa en concreto y no sabía que fuera tan potente y tuviera tantas cosas, tendré que meterle caña para sacarle más partido. Por lo que sabiendo el nombre de la herramienta para un propósito determinado, con el libro tendré un buen manual de consulta con el que mejorar mis conocimientos de este proxy.

También tenemos un capítulo que lo dedican prácticamente a la explotación de vulnerabilidades con Metasploit. Incluso alguno de los ejercicios era el que nos montaron hace unos cuantos años en el Hands On Lab desde la ya desaparecida Informática64, formación impartida en aquel entonces por Pablo.

Algunas de las cosas que ha conseguido que me acuerde bastante bien, porque me suele dar muchos problemas, es cuando se quiere inyectar SQL y te están filtrando los campos para que no puedas introducir una sola comilla. Siempre que he querido buscarlo no he tenido éxito y aquí he encontrado la solución, que era bastante más sencilla y una (soberana) chorrada: convertir a hexadecimal la cadena que quieres inyectar.

Ciertamente el tener el libro ayuda bastante para saber qué se puede hacer con todas esas herramientas de las que consta la distribución. Como ya he dicho en alguna ocasión, he lanzado Kali para realizar algunas tareas que me hacían falta. Pero alguna que otra vez, sí que me hubiera venido bien saber que ahí las tenía.

Para aquellos que habéis tenido la oportunidad de leerlo: ¿Qué opináis vosotros?

lunes, 9 de febrero de 2015

VSE Vostreran: ProcessExplorer y Autoruns

Por desgracia, no tengo capturas hechas en vivo cuando me tuve que pegar con este riskware.

Recientemente he tenido que hacer una asistencia en la que el equipo, con un Windows 7, nada más entrar, además de pedir la clave de licencia (que ya estaba activada), no mostraba nada más una vez se solicitaba volverla a introducir más tarde.

Una de las primeras cosas que hice fue buscar algún disco de arranque con un antivirus para intentar hacer un análisis rápido. El problema estaba en que el CD era bastante antiguo (mucho), por lo que mientras se perdía el tiempo en descargar todas las actualizaciones necesarias, yo invertí el mío en buscar varias herramientas que me harían falta.

Una de ellas, como no, iban a se las sysinternals. De éstas, casi siempre suelo tirar de dos de sus programas: el process explorer y el autoruns. Además, y no recuerdo si lo hice en esta etapa o ya con acceso al sistema, tuve que hacerme con el programa product key de NirSoft.

Una vez pude pasar el antivirus en modo offline las carpetas del sistema y pude escoger qué eliminaba, o qué dejaba ya estaba más o menos en situación para arrancar el sistema.

Con el sistema arrancado, pero inutilizado, lo único que podía hacer era abrir el administrador de tareas a través de la combinación de teclas Ctrl+Shift+Esc:


Administrador de tareas o task manager: Ctrl+Shift+Esc
Administrador de tareas o task manager: Ctrl+Shift+Esc
Una vez abierto, pude arrancar desde Archivo --> Nueva Tarea una consola:

Nueva tarea: cmd
Nueva tarea: cmd
A partir de aquí, lancé las dos herramientas mencionadas antes. La primera que me puse a mirar fue autoruns. Me permitió desactivar ciertos programas que no tenían por qué lanzarse. 

Autoruns
Autoruns
Entre otros, uno me llamó la atención pero no estaba muy seguro qué era. Se llamaba algo así como vse_vestreran. Me llamó la atención pero no sabía muy bien qué podía ser. Aún así, lo dejé por si las moscas y ya miraría de qué se trataba. Por lo tanto, dejé el sistema lo suficientemente preparado para que no lanzase cosas innecesarias. Pero, aún así, no había atinado con qué hacía que no se pudiera vez nada y no se pudiera trabajar con el equipo.

Por lo tanto, aún teniendo el autoruns lanzado, me propuse mirar qué me mostraba el process explorer. De lo que veía que me parecía sospechoso, lo enviaba a Virus Total por si las moscas. Todos los que enviaba, resultaba que eran "inocuos" (en el sentido de que eso no existe al 100%) o descubría que pertenecía (por la ruta o por el programa del que colgaba) que podía no ser el causante del follón en el que nos encontrábamos. Pero había uno especialmente me volvió a llamar la atención: VSE_Vestreran. Estaba colgando de otros procesos. Recordemos que lo tenía lanzado sin tener escritorio y sólo podía utilizar la consola o lo que ésta me permitiera ejecutar. Así, hice dos cosas, y no recuerdo el orden: enviarlo a Virus Total y matarlo. Ambas acciones dieron sus frutos. Tres o cuatro Unos cuantos motores de antivirus lo catalogaron como riskware:

Resultados en VirusTotal: 8 detecciones
Resultados en VirusTotal: 8 detecciones
Como se puede ver, no lo califican directamente como bicho, sino como adware o riskware. Para mi sorpresa (lo raro es que me sorprenda), es que han aumentado las detecciones. El sábado pasado (el 31 de enero) sólo eran 4. He podido lanzar los tests porque me hice una copia de la carpeta donde se encontraba la ejecución de este programa. Lo que me da es que a lo mejor no terminé de copiar todo. Ya veré. Quiero jugar un poco con este tipo de cosas para poder aprender a hacer mejores análisis de qué cambios hay antes y después de su ejecución. 

Por lo tanto, una vez pude ver que éste sí que me lo podía cargar, tiré otra vez del autoruns para impedir su ejecución en el arranque. Maté su proceso, lo que me permitió ver ya todo el escritorio y poder trabajar mejor, así podría reiniciar y ver que todo marchaba bastante mejor al reiniciar. 

Lo último que hice fue hacerle un repaso al sistema para ver que iba bien, desinstalar todas las cosas que no servían de nada y tirando millas. Soy consciente de que sin un análisis más en profundidad lo suyo hubiera sido reinstalar, por si las moscas. Pero en este caso, prácticamente no lo vi necesario. A parte de que normalmente es otra persona la que le suele hacer ese tipo de tareas. 

De las últimas cosas que hice fue recomendarle un blog en el que podría aprender bastante: Angelucho tendrá otra persona más a la que enseñar los peligros de la red.