lunes, 28 de octubre de 2013

1GB de info: X1Sonrisa

Esto lo quería haber escrito hace una semana, pero... Bueno. Visto lo visto, mejor tarde que nunca. 

Roberto... Rober, del blog 1GB de información, ha vuelto a organizar su pequeña aportación para aquellos niños a los que los reyes es muy posible que no puedan pasar por sus casas. Ese pequeño gesto recibe el nombre de X1Sonrisa.

¿En qué consiste? De lo que se trata es que Roberto recogerá en la medida de lo posible aquellos dispositivos o componentes que funcionan y los preparará si hace falta, para que aquellas personas que realmente sepan que los de oriente no tengan muchas posibilidades de pasar por sus hogares, sí que lo consigan. 

Si hay alguien que sepa de niño que realmente lo necesita, que se ponga en contacto con Rober y él analizará la situación de cada candidato. Lo que no vale es que solicitar esa ayuda sin necesitarla. Hay muchos niños que realmente la necesitan, por lo que no hace falta decir (y ya lo estoy repitiendo yo, dado que también se hace constar en la entrada original), que no se haga uso de la picaresca. 

Lo dicho. Si alguien tiene algo para aportar, que le avise. 

miércoles, 23 de octubre de 2013

DragonJar y el vecino juanquer

Este es uno en el que no voy a parafrasear mucho, pero tenéis tres cuartos de hora de vídeo en el que Jaime Andrés Restrepo (@DragonJAR) nos cuenta un caso real de cómo cazó al vecino de un amigo suyo que le estaba robando la wifi. Está muy entretenido.

No voy a negar que alguna de las cosas que hizo no me han sorprendido (sobretodo el uso de un sniffer), pero aún sabiéndolas, posiblemente no se me hubiera ocurrido utilizarlas en ese instante.

¿Cosas que tendía que aprender? Python o perl. Veo que ambos lenguajes se utilizan mucho en este ámbito y tendría que meterme un poco de caña para poder hacer otro tipo de programitas / scripts para montarme mis herramientas.

Bueno, aquí lo dejo que si no me alargo más de lo que quería.

lunes, 21 de octubre de 2013

Reto 01: Estenografía

¡¡Hola a todos!!

Vamos a ver. Me ha costado mucho montar este reto. Como tampoco es que supiese mucho de estenografía (lo que se me han ido contando en algunos cursos de formación como el prácticamente desaparecido FTSAI) o lo que tuve que investigar para el reto de flu-project (y que al final no hacía falta), pues me ha dado por montar uno. La verdad, no me ha salido como yo quería. Por todo esto, por favor, no me linchéis, ¿vale? xD

Esto es lo que vais a tener que hacer: tendréis que darme exactamente todos los datos ocultos que hay en las imágenes.
[Update02]
Imagen 1
Imagen 1

Imagen 2
Imagen 2
[/Update02]
[Update]
Aunque voy a escribir al respecto, al subir las imágenes han perdido una de las características esteganofráficas. Para poder continuar con el reto, necesitáis una pista (al publicar la pista, es algo distinta a la que puse en la imagen "destrozada") que sería algo así:
Carsten Neubauer te ayudará con el estereograma.
[/Update]

La extracción tiene que ser lo más fehaciente posible, sin que se pueda rebatir que el dato sea otra cosa.

¡Ah! Los resultados. Por favor, no los publiquéis aquí abajo en los comentarios. Si acaso, enviadme un correo a...

Las soluciones se envían aquí
... con el asunto empezando por [RETO_01], diciendo cómo lo habéis hecho paso a paso. Recordad que normalmente según por donde empieces, tendrás más o menos éxito. Tendría que decir cuándo lo finalizo. Pongamos, pongamos...  El domingo 27 de octubre, no más tarde de las 20:30.

Siento no poder dar un premio. Posiblemente lo que termine haciendo sea que alguno de los que obtenga todos los datos esperados publique el resultado, y eso deberá de ser para el lunes 28 o miércoles 30. No más tarde.

Nada. ¡Espero que lo disfrutéis!

viernes, 18 de octubre de 2013

Radio3W: Ventanas a la red, por Pilar Movilla

Este va a ser otro rapidito. Ahora mismo estoy embarcado en un tema que quiero publicar, pero me está costando mucho más de lo que yo pensaba. Y me gustaría que quedase bien, por lo que intentaré dejarlo lo mejor pulido posible. A ver cuánto me dura la paciencia para hacerlo.

Mientras, vamos a hablar de un programa que muchos de vosotros ya conoceréis: Ventanas a la red. Es un programa que pertenece a Radio3W (@Radio_3W) y que lo presenta Pilar Movilla (@Pilarmov).

Para el que no lo sepa, este programa está dedicado a la seguridad en Internet, hácking ético, tecnología... Sobretodo su temática está centrada en entrevistar a personas que están involucradas en la tecnología. Por poner varios ejemplos de personas conocidas como pueden ser Lorenzo (@Lawwait), Chema (@Chemaalonso), César Lorenzana (del Grupo de Delitos Telemáticos, @GDTGuardiaCivil), Román (@patowc)... También a compañeros que están comenzando como pueden ser Rober(@1GbDeInfo), Monica (@Madrikeka), Óscar(@dot_ike), Adrian(@winsock)... Hay muchos, muchos más.

Los podcasts, que se pueden descargar, se remontan a más o menos febrero. Están muy chulos y muy bien producidos. Incluso, copypasteando el enlace que nos ponen en la página principal, podremos escuchar la emisora en directo.

¿Qué más podemos decir? Podemos contar que Pilar, la presentadora, es tan técnica como todos nosotros. Por lo que de todo esto sabe un rato.

¡¡Qué casualidad!! Ahora mismo (jueves, a las 20H), están emitiendo el programa. Como normalmente me lo escucho en diferido, puuuueess...

Lo que iba diciendo, Pilar sabe bastante de los temas que se tratan en el programa. También, al ser consciente de que hay gente escucha el programa que no entiende, suele pedir al entrevistado que explique algunos términos para que cualquiera lo entienda. Además, a veces incluso sabe por dónde preguntar alguna cosas que no todo el mundo sabe. Muy curioso.

Desde aquí quiero darle mi enhorabuena por el programa y espero que pueda emitir muchos más. Una vez más: para el que no lo conozca, se lo recomiendo encarecidamente.

jueves, 10 de octubre de 2013

Ajustando el color con la rueda de colores

Alguna vez nos tocará montar alguna presentación o ya lo hemos hecho.  Y, al final, a la hora de ajustar las fuentes o los colores terminamos haciendo lo que nos parece.

Recuerdo cuando salió el famoso word art que se ponían colores o patrones muy horteras. Y no digamos de las fuentes. Más de lo mismo.

Hoy, desde "El arte de presentar" nos enseñan a cómo combinar los colores correctamente utilizando la rueda de colores. No sólo vendrá bien para los power points sino también para las posibles aplicaciones que te montes.

Espero que te sirva.

P.D: Escrito desde el móvil.

lunes, 7 de octubre de 2013

Crónica de la Navaja Negra 2013

Este año me he apuntado a las conferencias Navaja Negra, que se han celebrado los pasados 3, 4 y 5 de octubre en Albacete. Esta es la crónica de lo que he visto.

El primer día, salida de Madrid para Albacete a las 6 o 7 y pico de la mañana, con el tiempo justo para llegar al recinto donde se celebraba, identificarme, esperar un ratillo más y ¡a comenzar! Mientras que ya cogía sitio, me encontraba con Longinos hijo (@L0ngin0s), padre (@LonginosRecuero), Iván Durango (@IvanDurangoB),Jorge WebSec (@JorgeWebsec), Roberto aka akil3s (@1GbDeInfo), Kino (@kinomakino)... Seguro que me dejo a alguien de los primeros que ví... Eso sí, allí en la organización no podían faltar Pedro aka S4aur0n (@NN2ed_s4ur0n) y Daniel García aka Cr0hn (@ggdaniel).

Las jornadas tenían una estructura muy similar: Empezar a las 9 y pico, sobre las 11 media hora de desayuno, volver a las presentaciones hasta las 14 horas más o menos para comer en hora y media dos horas... Otras dos horas de ponencias para hacer una pequeña merienda sobre las 18 horas para terminar la jornada a las 20 horas, más o menos. Según qué ponencias, si tenían que preparar algo o tenían algún problema, se hacía un minidescanso de 10 minutos.

¿Qué pudimos ver? Pudimos ver charlas sobre las DLLs: Juan Carlos montes (@jcmontes_tec) dio una y Adrian Pulido (@Winsock) dio otra. Si resumimos la de Adri, que tengamos que en cuenta que los bichos nos los pueden colar desde las DLLs, por lo que pasar un ejecutable por Virus Total no impedirá que no nos lo cuelen. Un ejemplo muy claro puede ser cuando te bajas una DLL de una página. También pudimos ver cómo Dani Martínez (@dan1t0) nos enseñaba una herramienta para pentesters llamada Choped. Sobretodo, ese tipo de herramientas que aunque se basan en los resultados de otras más conocidas como puede ser Nmap, Zmap, Nessus, después te genera un informe muy chulo. Esta herramienta ayuda sobretodo a aquellas personas cuyo comercial ha vendido que se puede hacer algo en unos tiempos imposibles. Florencio Cano (@florenciocano), nos habló sobre los fuzzers contra los navegadores, HTML, HTML5. En la charla de Alfonso Moratalla (@alfonso_ng) y Ricardo Monsalve (@cenobita8bits) nos hablaron de los SDRs. Para resumir: utilizar un pincho de TDT para capturar comunicaciones para las que en un principio no estaba diseñado, gracias a que el control de las frecuencias se hace por software y no por hardware. Daniel García (@ggdaniel) nos presentó su herramienta GoLismero, para hacer tests en aplicaciones web. Muy versátil, ya que se puede definir hasta qué nivel se quiere llegar. También pudimos ver a Jaime Peñalba (@nighterman) hablándonos de ROP (Return Oriented Programing. Si no se escribe así, es muy similar). La última ponencia de la primera jornada fue la de Alejando Nolla, (@z0mbiehunt3r), nos habló sobre las redes CDN.

En el descanso de la merienda, nos encontramos con una lluvia bastante fuerte. Esta es la captura de uno de los vídeos que hice:

Lloviendo a cántaros
Lloviendo a cántaros en el Navaja Negra

Esa misma noche pudimos ver a Monica (@Madrikeka), Nico Castellano (@jncastellano)... Por aquí dejaré una foto de cuando estuvimos unos tres o cuatro pululando por la cuidad, después de una rica cena.

Aquí estamos paseando en la sobremesa:

Longinos padre, Longinos hijo e Iván
Longinos padre, Longinos hijo e Iván
El segundo día no dejó de ser menos interesante: En sendas charlas impartidas por Marc Rivero (@Seifreed), Santiago Vicente (@smvicente), Fran Ruiz (@francruar) y Manu Quintans (@groove) nos explicaban los distintos riesgos en los fraudes, bichos, botnets que hay por internet para sacarnos, sobretodo, los cuartos (o información con la que los pueden obtener). Dani 'The doctor' Kachakil (@kachakil), una charla sobre criptografía. Tampoco nos podríamos perder la que dio Sergi Alvarez aka Pankake (@trufae) sobre los bitcoins y su minería. También pudimos ver a Jose Selvi (@joseselvi) hablando sobre distintas técnicas de MItM, o cómo darle la vuelta a las ya conocidas. David Meléndez (@taiksonTexas) nos mostró, una vez más, sus drones. Lorenzo Martínez (@lawwait), que ya sabéis que es de Security by Default, nos mostró su herramienta LIOS, para hacer un análisis forense de dispositivos Apple. Y, esta es la más importante, sólo porque pude ser voluntario dos veces, es la que hizo Pedro aka S4aur0n (@nn2ed_s4ur0n) sobre congelar la memoria RAM nada más apagar el ordenador. Con esto, y un pincho USB en el que se cargase un sistema operativo en la zona de los 640 KB, se podría hacer un dump de lo que había en la memoria antes de apagar el equipo, pudiendo recuperar gran parte de los datos (la pérdida siempre proporcional al tiempo que se tarde en enfriar las tarjetas de memoria RAM). Una primera prueba fue que nos permitieron probar la temperatura en que quedaba una moneda al rociarla con el spry para enfriar circuitos integrados. Sí: bastante frío. Pero con el calor de la mano, vuelve a temperatura normal en seguida. La otra cosa en la que pude participar como voluntario fue decirle al público lo que mostraba la pantalla una vez cargado el USB. Un pequeño desastre, pero bueno, estuvo muy chulo.

Con todas estas ponencias (como ya he dicho, no necesariamente en ese orden), las jornada había finalizado. Una vez más, nos fuimos unos cuantos al mismo bar de la noche anterior a cenar. En esta ocasión nos reunimos unos cuantos más. Si no me acuerdo mal, además de los colegas ya mencionados, estaba también Kio Ardetroya (@kioardetroya). Después de la cena, terminamos en el bar que estaba junto al hotel, donde se encontraban un buen grupo del elenco de los asistentes y organizadores y nos tomamos algo con ellos.

El tercer y último día de las jornadas terminó justo antes de comer, momento al que iríamos al bar donde tenían preparada una buena comida. Esta tercera jornada estuvo marcada por la ley: Jose Luis Verdeguer (@pepeluxx) nos habló de TOR. Después el Grupo de Delitos Telemáticos de la Guardia Civiol, por parte de César Lorenzana y Javier Rodriguez nos hablaron del anteproyecto del código penal. La Brigada (pedón, ahora Unidad) de Investigación Tecnológica de la Policia Nacional, por parte de David Pérez, nos hablaron de su trabajo en lo que a esta temática se refiere. Después, estos mismos ponentes, junto con la organización y, además, el letrado Pablo Fernández (@Pablofb), montaron una mesa redonda, que, como siempre, estuvo marcada por la misma polémica de siempre. Pero muy constructiva, todo sea dicho.

Como he dicho, después iríamos a comer al bar. Allí nos fuimos despidiendo poco a poco de la peña. Yo salía para Madrid sobre las 16:30, 17H.

Como ya he dicho antes, quisiera poder repetir el año que viene. Le doy mi enhorabuena a la organización y a todos los compañeros y ponentes por lo bien que consiguieron que me lo pasase.

jueves, 3 de octubre de 2013

Integrando criptografía

Como de costumbre, leyendo los posts retrasados, me he quedado con el siguiente de security by default. En su momento ya escribí una referencia al respecto que venia de otro blog.

Aquí os dejo el enlace.

http://feedproxy.google.com/~r/SecurityByDefault/~3/s2yGjW8Dx0s/consejos-practicos-la-hora-de-integrar.html

Por cierto, lo he escrito desde el móvil. 

miércoles, 2 de octubre de 2013

Noticias varias

Bueno, vamos a ver. Varias cosillas que puedo contar mientras que pienso en la siguiente entrada técnica:

- Desde la lista de correo de la RootedCon nos han informado que ya se abre el plazo de solicitudes de ponencias para la quinta... ¡Sí!¡LA QUINTA! ...La quinta edición de este congreso. Para más información, seguid el enlace.

- Otra noticia sería que, también en la lista de la Rooted, nos han publicado como recordatorio un vídeo en el que podemos ver, entre otras personas, a Román Ramirez (el presi de la Rooted), David Barroso (S21Sec) y Vins Vilaplana, publicado en 2010, si no me equivoco:



- Este mismo jueves empieza el Navaja Negra. ¡¡Espero veros por allí!! 3 días que van a ser grandiosos. Ver a los asiduos de estos eventos, conocer a nuevas personas, desvirtualizar a otras...

- Rober, @1GbDeInfo, ha organizado la primera ZampaCon. Para asistir, es imprescindible ponerle un comentario a él.