domingo, 28 de diciembre de 2014

Linux y algunos parámetros del kérnel: Linux casado

La primera parte creía que ya la había contado en otra ocasión, pero, una vez más, no he sido capaz de encontrarlo. Pero bueno, para refrescar la memoria...

Como muchos sabréis, en linux, si quieres saltarte la contraseña de root, porque, por ejemplo, ésta se haya perdido, lo que hay que hacer es editar el menú del grub cuando éste se muestre y añadir al final de la línea la palabra single:

Editando el grub en linux
Editando el grub en linux
Y vamos a editar el kernel:

Editando grub: añadiendo single como parámetro del kernel
Dependerá de la versión que tengas el cómo te lo muestre, pero en definitiva, hay que añadirlo ahí. 

Una vez lo tengas, tendrás acceso al sistema con permisos de root sin haber usado la contraseña. Eso sí, la carga es muy limitada, por lo que tendrás servicios que no funcionen. 

Lo curioso es el resultado que nos ofrece si en vez de single, le ponemos married. Me gustaría mucho que lo probaseis y me lo comentarais para que después os pueda dar mis resultados y así los contrastamos. ¿Os parece?

Publicado por agux en 12:50 0 comentarios
Etiquetas:

miércoles, 24 de diciembre de 2014

¡Felices Fiestas!

Sólo escribo este  post para desearos a todos vosotros tengáis unas felices fiestas con todos los que os quieren.

Espero que os podáis reunir con vuestras familias o amigos... ¡O con todos!

Disfrutadlas tanto como The piano guys parece que han disfrutado montado este vídeo:



¡Un abrazo a todos!
Publicado por agux en 10:00 0 comentarios
Etiquetas:

lunes, 22 de diciembre de 2014

pnputil: Mucho cuidado... O te quedas sin dispositivos

Hace tiempo, jugando un poco con los drivers, e intentando instalar uno para un dispositivo Android... Conseguí que apenas se detectara. Si no recuerdo mal, fue por instalar unos drivers que al final no eran para dicho gadget. El problema está en que gracias a eso conseguí que tampoco se detectara correctamente mi móvil, por lo que no podría acceder a la tarjeta SD desde el ordenador.

Y ahí me veis, instalando un montón de controladores para Android, descargados de páginas oficiales (tanto del propio Android como del fabricante) y que no hay manera. Hasta que me encuentro con que se me repiten muchas entradas.

Por lo tanto, no se me ocurrió otra cosa que buscar cómo podía quitármelos de encima. Y ahí es donde encontré esta página, el que usando el comando de Windows pnputil te permitía quitar los drivers deseados.

Total, que me puse como loco a eliminar los que me parecieron... Y ahí estoy, desde hace un tiempo, desde mi Windows, sin acceso a los datos del cacharro.

Sí, he probado a instalar de nuevo las paqueterías, pero nada.

Sí, he probado a ejecutar

sfc /scannow

pero tampoco...

Sí, le he dicho que se descargue los controladores por Windows Update.

Si es que, ya me lo decía el maestro Vicente: los experimentos se hacen con gaseosa.

Cosas que acabo de probar, siguiendo los consejos de esta otra página:

  1. Ir cambiando los distintos modos en los que se puede poner la conexión USB: Almacenamiento masivo (la que no me funcionaba), multimedia y.... Cámara PTP. En las dos últimas ha instalado algún driver, sobretodo porque nunca los he necesitado.
  2. Poner el modo USB debug desde las opciones de desarrollo. Aquí la cosa ha mejorado, porque sí que me han aparecido las dos unidades que debían de salir, pero, en el momento de activar el almacenamiento, sólo me ha permitido entrar a ver los datos de la partición de la tarjeta externa. Al menos, algo es algo. Eso sí, en el momento en el que se desactiva el debug, volvemos a tener invisibles las unidades. 

Pero, la verdad, como ahora mismo estoy metido en veinte mil proyectos y cosas, de momento no me voy a pegar mucho más con esto. Aún así, si a alguien se le ocurre otra forma de volver a instalarlos...  Además de poder escribir alguna cosa que le pueda servir de ayuda a alguien que quiera poder manipular (léase, instalar y desinstalar controladores por consola o cmd), también continúo dándole vida al blog, que llevaba tiempo sin escribir algo técnico.
Publicado por agux en 05:15 0 comentarios
Etiquetas: ,

lunes, 1 de diciembre de 2014

Fui finalista de los premios Héroes Digitales

Este miércoles pasado estuve en el #ESETSecForum organizado por ESET (@ESET_ES), allí, en el Canal de Isabel II en Madrid (junto a la estación de metro Rios Sosas).

En ésta tuvimos la oportunidad de asistir a dos mesas redondas donde, en resumen, se habló sobre la seguridad en la sociedad y, sobretodo, para las personas de a pié. Al final, esta segunda parte, sin querer, todo el mundo que participó en dicha mesa habló de los más vulnerables de todos: los niños.

Entre debate y debate, la organización (entre ellos, Josep Albors [@josepalbors] y Yolanda) nos puso unas bebidas para poder descansar y hacer networking. También, al finalizar la entrega de premios, nos pusieron la cena, en la que se nos ofrecían pinchos muy buenos y también podían caer unas cuantas bebidas.

Lo importante es que allí nos encontrábamos muchos asiduos a estas reuniones: Rober (@1gbdeinfo), KioArdeTroya (@kioardetroya), Pedro (@NN2ed_s4ur0n), Angelucho (@_Angelucho_), David (@insonusvita, ganador del premio al Héroe Anónimo), Dani (@ggdaniel), Javier (@BehindFirewalls)... Incluso, ¡al fin! pude conocer en persona a Pilar Movilla (@Pilarmov)!! Sé que me estoy dejando a muchos. Ya sabéis que soy un desastre para esto...

Ahora, os preguntaréis: ¿Qué pasó con el premio? Pues resulta que, este año no pudo ser. Entre los 5 o 6 finalistas que estábamos, entre los que también se encontraba Rober, el ganador fue un jabato de mucho cuidado. Porque, recordemos, el que no aplica la seguridad a lo jabalí (@Seguridadjabali), mal le irá. Mi más sincera enhorabuena a todos los ganadores.

Eso sí... ¡El próximo año vamos a darlo todo!
Publicado por agux en 23:30 0 comentarios
Etiquetas:

lunes, 24 de noviembre de 2014

Review: Desarrollo de aplicaciones Android seguras

Hace bastantes meses (allá, por la RootedCon de este año) que tenía este libro y por aquel entonces lo empecé a leer. Pero esto es lo típico, empiezas a leer, lo dejas, continuas, lo dejas... Por lo que no está leído del tirón. También he de decir que el año pasado ya me hice el curso de desarrollo de aplicaciones Android impartido por la Universidad de Valencia desde la plataforma Miriadax, y antes estuve jugando con material que me pasó Marc Rivero (@Seifreed).

¿Qué puedo contar del libro?

Está escrito por Miguel Ángel Moreno, y es la edición en la que aún se muestra el membrete de Informática 64.

Está muy bien estructurado. Si ya has trabajado con java te resultará fácil entenderlo. Al menos, el funcionamiento de cómo estructurar cada una de las partes de las que se tiran para conseguir que se ejecuten las acciones deseadas. En cada capitulo nos enseñan cómo hacer crecer la aplicación, empezando por construir sólo el diseño visual a través del cual queremos que se muestren los datos y que el usuario interactue con ella llegando a almacenar los datos con los que trabaja. Si sólo te dedicas al desarrollo puro y duro, lo más complejo que te puedes encontrar es el diseño puramente visual. Además, a medida que se van leyendo los capítulos, se van teniendo ejemplos prácticos con los que se pueden probar cada una de las técnicas que te están enseñando en ese instante.

No voy a negar que le he encontrado un pero. No sé si es porque esperaba algo más o que al leerlo tan a trompicones ha tenido algo que ver o simplemente que no hay mucho más que contar de lo que yo esperaba, pero me ha dado la sensación de que aún le falta algo más sobre seguridad. Hay un capítulo en el que sí se dan consejos de sobre temas de seguridad, como por ejemplo, el almacenamiento de información crítica (por ejemplo, credenciales de usuario) o transmisión de la misma utilizando las telecomunicaciones, cómo asignar los permisos necesarios para que al instalar la aplicación ésta funcione o cómo almacenar los datos para que otras aplicaciones puedan (o no) acceder a ellos... Es cierto que antes de ver cómo diseñar un programa seguro hay que empezar por saber cómo desarrollarlo desde el principio. Aún así, me he quedado un poco desencantado, la verdad.

Además de la creciente dificultad que van teniendo cada uno de los capítulos del libro, podremos ver los distintos ejemplos que se van mostrando, a cada uno de ellos más vistosos.

Por favor, todos aquellos que lo hayan leído, estaría bien poder contrastar mi opinión con la vuestra.
Publicado por agux en 05:00 0 comentarios
Etiquetas: , ,

miércoles, 19 de noviembre de 2014

Resultado de los Premios bitácoras

Hace semana y media terminaron las votaciones de los Premios bitácoras. Y aquí tengo dos noticias: una buena y una mala.

La buena es que muchos de los colegas que nos dedicamos a este mundillo han llegado hasta el final. PabloYGlesias () ha quedado cuarto, Angelucho ( ) sexto, Security by Default () octavo, Chema (el Maligno, ) segundo... Y puedo seguir enumerando. El blog de Kinomakino (), Inseguros, junto con el que escriben Pablo ( ) y Juanan ( ) [ya sabéis, Flu-Project ( )] y Roberto () con su Giga de Información... También en el top twenty.

A ver, tampoco es por despreciar aquellos que no lo han alcanzado, como puede ser Infospyware (, al que reconozco que no lo sigo con mucha asiduidad) o Hispasec Una al día () , Pentester  (de José Selvi,  ), el blog de Eleven Paths ( ), Seguridad a lo Jabalí ( )... Todos ellos en los 50 primeros clasificados.

Espero no dejarme a nadie de los conocidos, que me da un algooo!

Y ahí os preguntaréis: ¿Que pasa con esta santa casa (como diría alguno que nosotros sabemos)?. Puuees.. que este año no ha podido ser. Y esa es "la mala noticia". En la penúltima clasificación parcial (la cuarta) sí que alcancé el puesto 44. Pero ahí se quedó la cosa. Aún así ya es mucho teniendo en cuenta que me apunté tan tarde como Pablo. Por lo tanto, me puedo dar con un canto en los dientes que llegase a ese puesto en algún momento. Eso sí... ¡¡El año que viene vamos a por todas!! Trabajaré más duro, para poder escribir contenido de calidad y que ésta no decaiga.

Una vez más, mi más sincera enhorabuena a todos.
Publicado por agux en 20:15 0 comentarios
Etiquetas:

lunes, 3 de noviembre de 2014

Crónicas: No Con Name 2014

Un año más, he tenido la posibilidad de visitar Barcelona para ir a la No Con Name. 

Como de costumbre, me lo he pasado muy bien, y he podido  encontrarme con unas magníficas personas. Por ejemplo, en la sobremesa del primer día, nos hicimos esta foto:

En la sobremesa del primer día de la No Con Name 2014
En la sobremesa del primer día de la No Con Name 2014
Ahí estábamos, Pablo (@pablogonzalezpe), Edu (@eduSatoe), Miguel (@Miguel_Arroyo76), Valentín... 

La verdad es que me lo pasé muy bien. Y disfruté mucho de las charlas. Teníamos de todo:

  • La HackStory por parte de Mercé (@mercemolist), 
  • Daniel O'Grady nos habló del área de servicio de los discos duros y cómo con su driver es posible ver la información que hay en ella o, incluso, ocultar algún fichero ahí dentro. 
  •  Jordi Serra nos habló de comunicaciones ocultas. Sobretodo se habló de esteganografía, tanto en imágenes como en ficheros de audio.
  • Ruth (@ruth_legal), se la que ya os he hablado unas cuantas veces, y Selva (@selvaorejon) nos hablaron de cómo se debía llevar un caso de extorsión por internet. Entre otras cosas, nos dieron su punto de vista de cuándo denunciar y cómo. Pusieron un ejemplo real de un caso bastante grave. 
  • David Meléndez (@TaiksonTexas) nos habló de cómo implementó su propio protocolo de gestión de señales wifi, con el fin de que un ataque de deauth no le haga perder el control de su drone construido por él mismo.
  • Sergi Casanova y Pol Matamoros nos hablaron de ataques a java security cards (smartcards). 
  • Albert Puigsech (@apuigsech) y Albert Sellares (@whatsbcn) nos contaron el funcionamiento de criptomonedas poniendo el ejemplo de los bitcoins como base. Se enfocó en posibles ataques al sistema: robo de claves privadas, romperlas, hacer una técnica que denominaron "doble gasto"...
  • En el coloquio sobre "La necesidad de profesionales de la seguridad" se estuvo haciendo incapie en si hacía falta una formación específica en materia de seguridad, cuántos de nosotros somos autodidactas, qué hace falta para ser un buen profesional de la materia o si es necesaria una base. 
  • David Sancho (@dsancho66) nos habló de cómo una banda criminal consiguió saltarse el factor de doble autenticación de un banco suizo. El resumen es que consiguieron que las victimas ejecutasen un bicho, que les hacía un pequeño cambio en el sistema (añadir un certificado nuevo al almacén y cambios de DNSs). La página a la que llegaba al introducir la URL del banco le indicaba que tenía que instalar un programa en el móvil. A pesar de todas la advertencias de los sistemas, las víctimas terminaron picando. 
Este fue el primer día. Eso sí, el segundo tampoco estuvo nada mal:

  • Alfonso Muñoz (@mindcrypt) y Ricardo (@ricardo090489) nos hablaron de cómo se podía montar una especie de nmap contra una víctima, haciendo que ésta visitase una página web montada a tal efecto, usando sólo etiquetas HTML de toda la vida.
  • Pau Oliva (@pof) nos contó cómo funcionan las distintas ROMs del Street Fighter y nos mostró cómo había modificado una para añadirle más funcionalidades, como, por ejemplo, un modo entreno. Incluso traía su propio joystick y parafernalia para jugar como antaño. 
Street Fighter II Turbo - Mod de Pau Oliva aka Pof
Street Fighter II Turbo - Mod de Pau Oliva aka Pof
  • Juan Carlos Ruiloba, (@juancrui) nos mostró cómo se podía ir ocultando información en cada una de las evidencias que se van encontrando. Al final, tirando del hilo, una a una, llegó a sacar como mínimo 11 claves a medida que iba encontrando más información. Entre otras técnicas, tiró de esteganografía. 
  • Vicente Aguilera (@VAguileraDiaz) nos habló de cómo conocer el comportamiento que una persona puede tener de acuerdo a los rastros que deja al utilizar sus redes sociales. Se basó en los resultados obtenidos a través de la cuenta de twitter empleada por la víctima. De hecho, nos enseño su herramienta tinfoleak, hecha en python
  • Lorenzo (@lawwait) nos habló del forensics que hizo a una clínica donde un ruso, un chino y otro ruso se metieron hasta la cocina para sacar pasta de la víctima. Es el caso que nos contó en las Navajas Negras de este mismo año. 
  • Isaac Sastre (@isakitohf), Fidel Paniagua (@Fidelpd) y Diego Suarez nos hablaron de cómo controlar los perfiles de un dispositivo android (una tablet) utilizando smartcards para evitar que un usuario entre en las carpetas de otro.
  • Albert Pugsech volvió a hacer otra charla. En esta ocasión, sobre cómo conseguir que un paquete que queremos que llegue al destino, que tendrá que estar en el mismo segmento de red, y que se componga como es debido para que se ejecute el exploit. La historia estaba en que al fragmentarse de cierta forma no terminaba de funcionar, por lo que forzó el orden en el que quería que llegasen los paquetes al destino. 
Por desgracia, tenía el tren y me perdí las dos últimas sesiones. La penúltima, parece ser que era un coloquio sobre "neutralidad en la red". La última, la de Abraham Pasamar, era la misma que hizo en las Navajas Negras sobre "Desmitificando el AntiVirus". 

Como ya dije por twitter, espero poder asistir el año que viene otra vez. 

Mi enhorabuena a la organización y a los ponentes. ¡Seguid así!

Publicado por agux en 22:15 2 comentarios
Etiquetas: , ,
Suscribirse a: Entradas (Atom)