lunes, 30 de septiembre de 2013

III Congreso De Seguridad Informatica Navaja Negra

Hace tiempo [dediqué una entrada mas una viñeta a la segunda entrega del congreso Navaja Negra] donde las ponencias pintaban la mar de bien todo y creo que no iban grandes espadas de la Seguridad Informatica Española. Este año,  este congreso a sufrido un cambio sin ingual, tanto patrocinadores, ponentes de un magnifico nivel y toda la organización han levantado un congreso mucho mejor que su anterior edición y del que quiero disfrutar de principio a fin. 


Para los que no conozcáis a los organizadores ya os estáis escuchando la entrevista que les hicieron en el programa [Ventanas a la Red de Radio3W]:

Este año hay demasiados ponentes como para hacer un copia pega de todas las lista de ponentes, merece la pena que os paseos a echar un ojo para ver a la cantidad de crack que van este año. 
Y, a todo esto, solo hace presentar la camiseta de esta entrega. Así que, espero que os gastéis los Euros que la camiseta vale la pena. Almenos a mi me encanta (Si alguien quiere hacerme un regalo no me negaré xD).   

Para los que tengáis ganas de saber mas sobre el congreso os sugiero que le deis un vistazo por su pagina web: 
Sed Buenos ;) 

domingo, 29 de septiembre de 2013

Adopta a Un Hacker Para Tu Empresa.

Antes de empezar solo decir que hablare largo y tendido sobre el en mi blog [Defend Your Brand] en la red social [Friendsandjob] en la cual trabajo sin animo de lucro en el ámbito de la seguridad ofensiva. Cada vez empresas o Startups, como es mi caso, se están dando cuenta que se ha de defender el patrimonio expuesto en la red de redes ya sea una pagina web o un servidor. Cada fallo de seguridad es un posible problema para la reputación de la misma así que es mejor que alguien de confianza los encuentre y te los reporte para poder repararlos a tiempo. 



Como ya he dicho, las empresas se están dando cuenta de lo que todos los interesados en la seguridad informática estábamos viendo hace tiempo y estan empezando a contratar a su propia "cuadrilla" de especialistas en seguridad informática. Tanto es la magnitud esta visión que ya ha llamado la curiosidad de algunos medios de comunicación.


Tener tu propio departamento o subcontratar a una "cuadrilla" no es costoso comparado con la perdida economica y de reputación que podríamos tener si un entorno de nuestra propidead fuera vulnerado. Pero de esto, ya hablaré lago y tendido en el blog [Defend Your Brand] de [Friendsandjob]

 Sed Buenos ;) 

Infografía.- Redes Sociales y El Alcohol

En este blog hemos hablado muchísimas veces de todo lo que tenéis que tener en cuenta para proteger smarthphone de cibercriminales. Pero, nunca nos hemos parado a pensar de como protegernos de nosotros mismos cuando por ejemplo salimos por allí y bebemos mas de la cuenta (siempre Fantas y Cocacolas mal pensados xDD) eh aquí un consejo que he pillado prestado del blog de [cyberhades] en forma de imagen instructiva. 


Puestos a redondear la broma prefiero aportar un poco de sabiduría popular a la broma con el siguiente vídeo. xD 


Haced caso a estos consejos. Sed Buenos ;) 

viernes, 27 de septiembre de 2013

Metasploit.- Curso Completo En Video <-- DragonJar

Hace mucho os hable de [BackTrack Academy] donde os hablaba de un seguido de vídeo-tutoriales bastante buenos sobre Hacking en general. Aunque, la verdad es que al acabar esos videos me quedé con ganas de mas así que me encantado encontrar en el famoso blog de [DragonJar] un curso la mar de completo de Metasploit. 


Aunque están en Ingles, cada una de esas clases son una maravilla, os dejo la dirección abajo y espero , como siempre que lo disfrutéis.

Siento si la entrada es mas corta de lo habitual pero a buen entendedor pocas palabras bastan y no se que mas deciros para que, todos a los que os gusta este tema, os pongáis de inmediato a curiosear todos los videos. 

Sed Buenos ;) 

jueves, 26 de septiembre de 2013

Bill Gates.- ¿Ctrl+Alt+Supr fue un error?

La verdad es que no tenia pensado hablar de esto hoy pero me ha impactado de mala manera y como sabéis que la historia de la Informática es otra de las cosas que me tiran bastante, me ha asombrado de que Bill Gates dijera textualmente "Fue un error" cuando [David Rubenstein] le preguntó por esta combinación de teclas en una campaña de [recaudación de fondos en Harvard].


"Básicamente, Gates explicó que Microsoft ha considerado utilizar un solo botón para iniciar sesión en Windows, pero IBM, la empresa que proporcionaba ordenadores y teclados usados para estaciones de trabajo con Windows hace mucho tiempo, se negó a adoptar un diseño de este tipo y crear una tecla separada para una sola tarea. Como resultado, la empresa de Redmond eligió una combinación única."
"La combinación de teclas Ctrl + Alt + Supr fue inventada por Bradley durante los años '80, pero se hizo famosa apenas aproximadamente 10 años más tarde cuando el sistema operativo Windows de Microsoft comenzó a ganar popularidad. La misma combinación de teclas también fue utilizada para reiniciar los ordenadores afectados por una BSOD (Black Screen Of Death) , así que cuando el número de problemas experimentados en Windows empezó a crecer, el método abreviado se convirtió rápidamente en una solución de dos segundos para cada bloqueo." 

Para los que querais saber mas, os dejo la fuente de la noticia justo abajo y no estaría mal verse el vídeo aunque sean 55 minutos:

Sed Buenos ;) 

miércoles, 25 de septiembre de 2013

Cifrado de Correos Electrónicos con Mailvelope

Hace tiempo que quería mostraros alguna manera fácil, chula y rápida de cifrar vuestros correos. Atrás queda mi época de Bachillerato donde algunos colegas cifraban sus correos para que "Microsoft" no les espiara y tardaban la vida para descifrarlo. Mailvelope utiliza el OpenPGP un standar para el Internert de PGP (Pretty Good Privacy) 

  • Primeramente nos decargaremos la Extensión (para Google Chrome) o el Addon (Para Firefox) desde las respectivas paginas o directamente desde su pagina principal.
  • Una vez Instalada la Extension/Addon iremos a generar nuestra clave para el cifrado, le daremos un click al icono de la extensión en el navegador e iremos a Generate Key. Rellenaremos los campos y preferiblemente elegiremos el sitema RSA (Rivest, Shamir y Adleman los tres cracks que lo inventaron) a 4096 bits. 

  • Como podremos ver nuestra clave ya ha sido creada con la contraseña que hemos puesto en el anterior punto.  Para revisar que todo esta correctamente datemos una vuelta por Display Key y revisaremos que todo este en orden. 


  • Ahora iremos a nuestro correo electrónico y empezamos a escrivir nuestro correo al acabar le daremos click al nuevo icono que tendremos al lado derecho y añadiremos la cuenta de e-mail a la que está asociado nuestra llave de cifrado. (si no sabes de lo que te hablo es el correo que has puesto en el primer punto)


  • Una vez añadido veremos como nuestro texto cambiara completamente con mas linias y letras sin sentido aunque avisa al receptor de que se esta usando PGP y que de tener la clave en este caso la contraseña del punto uno podrá descifrarlo sin problemas.

  • Vale, nos vamos al sistema de correo electrónico del receptor al abrir el correo nos encontraremos con esto si ambos (emisor y receptor) tienen instalada esta extensión.  La verdad es que mola bastante y es muy recomendable. 

  • Al tenerlo instalado solo hace falta darle click sobre el sobre con el candado para que nos aparezca el panel donde tendremos que poner la clave. 

  • Y como podéis ver el cifrado y el descifrado en 5 minutos y fácil de hacer. (ademas que la animación de la llave y el sobre mola muchísimo xD) 


Parece mentira como aun hay empresas que no cifran sus correos y/o utilizan firmas electrónicas. Sed Buenos ;) 

martes, 24 de septiembre de 2013

Entrevista .- Todo lo Que Querías Saber Sobre Doctor Bugs

Como ya sabéis me toca trabajar con este Crack en una asunto que ha sido Top Secret parara este blog hasta que [Doctor Bugs lo publicó en su blog]. La verdad es que es un placer trabajar con el y me gustaría que también lo conocierais a el. 

Háblanos un poco de ti:

Hay poco que contar sobre mí, mi nombre Real es Rubén Rodenas , tengo 24 años vivo actualmente en Valencia, aunque tengo la suerte de poder viajar mucho a Albacete. Mis aficiones ya las conocéis todos, Informática y todo lo que tenga relación con ella sobre todo dentro de la informática la seguridad , con los quebraderos de cabeza reglamentarios que ella conlleva. XD


Mucha gente piensa que para hackear se necesita un PC muy potente. ¿Que equipo Utilizas? 

Hace poco una noticia nos pegó una patada en la boca, a los que como yo pensamos que para ciertas cosas, ataques de brute forcé o por colisión… necesitabas un pc moderno y potente incluso ordenadores de 30 micros trabajando juntos, y luego llega una Raspberry Pi y ella sola saca más partido que 10 ordenadores, está claro que un pc potente te facilita las cosas, sobretodo en piezas específicas como las tarjetas de red o la tarjeta grafica, es importante tener buenas para trabajar con ciertas cosas específicas que todos conocemos y son muy útiles XD

Qué duda cabe que si el tío q está al otro lado no tiene ni idea no va saber sacar partido a lo que tiene entre manos, un buen hacker va poder auditarte y ver los errores de tus sistemas desde un móvil o un reloj. 


¿Como empezaste en el mundo de la seguridad informática?

Pues hace ya mucho tiempo, con mis 12 - 13 años, no voy a contar como desbloqueaba discos de 3 ½ por que eso lo ha hecho todo el mundo, pero si como hacia disquetes bomba con cabezas de cerillas XD y al meterlo el disquete ardía quemando el PC, gamberradas de crio…

Poco a poco vas puliéndote, conociendo a gente tomando perspectiva y sobretodo consciencia y ética que te forman para ser un profesional , en este mundillo nunca se deja de aprender y la verdad que es un marron cuando te vas de vacaciones vuelves y ves que todo se ha actualizado lo que era vulnerable ya no lo es y y lo que no era lo es y es todo un mundo realmente mágico, no me enrollo mas 


¿Que es lo ultimo a que le has hechado mano?

No se puede decir, jajajaj me hace gracia porque todos decimos lo mismo siempre XD, ahora estoy con el tema de la navaja negra de la que soy organizador y esperemos que el año que viene nos den la oportunidad de ser ponentes con ellos y contigo y a ver si hector y papilyn desde Alemania se animan… ;-)


¿Windows, Mac Os X o Linux? 

Los 3 son geniales sistemas operativos que a lo largo del tiempo se han ido perfeccionando más y más, hasta llegar a ser maravillas del ser humano, porque si mañana llega un SO nuevo tomara cosas de los 3 más grandes, como ellos tomaron cuando eran pequeños y esto es así siempre… pero para hablar más profundamente de ellos vamos a examinarlos en un breve repaso como los utilizo yo, para el día día … Windows y Mac Os X por su facilidad y por el click click como yo lo llamo, el apartado de seguridad es otro tema, pero para tenerlo en el hogar y puedan usarlo los niños, Linux para trabajar divertirse y cacharrear, es genial moverse en un sistema que sabes que es de todos , tanto tuyo como mío y da igual lo mucho o poco que lo hayamos aportado o usado, es de todos por igual y eso es una idea que me fascina y me llena de ilusión 


¿Que le recomendarias a todo el que quiera adentrarse en el camino de la seguridad informatica?

Que tuviera ganas sobre todo, y luego que estudiara algo relacionado con la informática y para el mundo laborar Certificados, que luego la mayoría no le aportaran conocimientos pero si certificaciones. A título personal que estuviera siempre informado y probando en su laboratorio lo que aprende y desde luego que visite el blog de State_X sin duda uno de los mejores a nivel nacional y mundial , al principio todos empezamos como magos imitando a otros magos sus trucos, cuando ya tienes idea de cómo se hacen esos trucos tu creas tus propios trucos y los compartes con la comunidad que otros los copiaran para hacer su magia

Sinceramente, me ha encantado lo del mejor blog nacional y mundial. Sed Buenos ;)

lunes, 23 de septiembre de 2013

Huellas Falsas y El Lector Biométrico de Iphone 5s by Hector (h3ku) Cuesta

Apenas ha pasado una semana desde que salió al mercado IOS7, y por el momento el asunto está a una vulnerabilidad por día ([Podéis verlas en las anteriores entradas de statex]), en esta ocasión es más concretamente del nuevo IPhone 5s y de su principal novedad el lector biométrico. Los chichos del Chaos Computer Club se han saltado el lector con el método más antiguo, creando una huella falsa, podéis ver aquí el video.


En primer lugar han sacado una foto de la huella de la víctima (Concretamente de una botella) a una resolución de 2400dpi, lo recomendable para que la huella sea más visible es aplicarla un poco de [cianocrilato] pero hay técnicas más caseras como un poco de carboncillo o polvos de talco, han pasado la imagen a ordenador, le han limpiado las imperfecciones, han invertido la imagen para crear un negativo y la han impreso con una impresora láser de 1200dpi en papel transparente con un toner grueso, podéis verlo en esta imagen.


Para terminar han aplicado un poco de latex a la impresión y listo, ya tienen su huella falsa.

Hay más métodos que tengo en mente pero no tengo el placer de probar, como por ejemplo usar de sustituto del látex un osito de gominola (Funcional en gran cantidad de sistemas biométricos), o como molde si no tienes acceso a una impresora similar una tarjeta de circuito impreso foto-sensible (PCB)

Fuente: http://dasalte.ccc.de/biometrie/fingerabdruck_kopieren?language=en

Esta entrada ha sido realizada por [Hector (h3ku) Cuesta] ya que hablando por ciertos circulos fue el primero en aportar toda esta información (y sobre todo en hacer la broma de que ya tenia entrada para hoy xD ) Así que, le ofrecí que hiciera la entrada de hoy. 

domingo, 22 de septiembre de 2013

Videos.- Primera HighSecCON ¡Lo Que Nos Perdimos!

Hace bastante os hable de la inauguración del foro de los amigos de [Highsec] y del primer congreso HighSecCON. Pues bien ya hace unas semanas que están todas las ponencias de este congreso en el canal oficial de Highsec en Youtube. 


Para mi fue una pena no poder estar allí apoyando al congreso y sobretodo disfrutando de cada una de las ponencias. A ver cuando hace alguna en Barcelona o cerca, guiño guiño xD.




Sed Buenos ;) 

Nuevo Bug En IOS 7.- Llamar Sin Desbloquear El Teléfono

Ayer ya hablamos sobre una vulnerabilidad que nos permitía saltarnos/bypasear la pantalla de desbloqueo del nuevo sistema operativo para Iphone/Ipad de Apple. Pues, hoy se ha descubierto otro bug el cual esta vez nos permite hacer llamadas al teléfono que nosotros elijamos sin necesidad de desbloquear la pantalla. Esto es muy útil para cuando nuestros amigos nos dejen sus flamantes Iphone ultimo modelo. el truco es tan sencillo que se puede resumir en la siguiente fotografía.


Toda la información sobre este bug la podréis encontrar en el siguiente enlace pero ya os digo que no es nada que no se pudiera haber corregido con el testeo adecuado: 
Estos bug han salido creo yo en el mejor momento, ahora que mucha gente está pensando en comprar uno Iphone 5S con el nuevo IOS7 donde ya se demostró, en el articulo de ayer, que lo del detector de huellas dactilares no es nada mas que una pijada. Apple ya puede buscar una solución para este problema ya sea a través de buscar un parche o haciendo una campaña de publicidad mas agresiva (aunque esto ultimo ya lo estén haciendo otras personas xD)


Sed Buenos con esto también ;) 

viernes, 20 de septiembre de 2013

Bug Para Bypasear La Pantalla De Bloqueo En IOS7

De los creadores de [Samsung Galaxy Note II.- Bypass Del Bloqueo De Pantalla] llega Bypass del bloqueo de la pantalla en IOS 7 en pleno apogeo por la salida de Iphone 5S y su sitema de "segueridad" biometrico (si si, lo de la huella dactilar. Ahora ya me diréis para que sirve xD) a manos de un soldado español de 36 llamado José Rodríguez.


"Cualquier persona puede explotar el bug por pasar arriba en la pantalla de bloqueo de acceso del teléfono "centro de control" y, a continuación, abrir el despertador. Sosteniendo botón de suspensión del teléfono trae la opción de apagarlo con un golpe. En cambio, el intruso puede aprovechar "cancelar" y haga doble clic en el botón de inicio para acceder a la pantalla multitarea del teléfono. Que ofrece el acceso a su cámara y fotos almacenadas, junto con la posibilidad de compartir las fotos de las cuentas de los usuarios, esencialmente permitiendo que cualquier persona que coge el teléfono para secuestrar correo electrónico del usuario, Twitter, Facebook o cuenta de Flickr." 
Forbes:  

Los mas divertido es que este bug también van ha funcionar en todos y cada uno de los sistemas que se actualicen a IOS7. Os dejo el vídeo para que veáis el como funciona el bug y supongo que con la cita de aquí arriba os sera fácil reproducirlo.


Sed Buenos con esto ;) 

jueves, 19 de septiembre de 2013

Linus y El Backdoor de la NSA en Linux

Ayer hoy rumores por mis redes sociales de que [Linus Torvalds] había acarado el tema del temido por todos Backdoor en Linux. La verdad, es que su intervención me tenia sumamente interesado.


Aunque ya existen otras cosas para desconfiar de la privacidad de algunas distribuciones Linux, si queréis mas información esta todo explicado en [el paper que publiqué hace unos días sobre el Proyecto Prism"A"]. Este hecho fue en la LinuxCon & CloudOpen North America 2013 y los recomiendo encarecidamente escuchar la charla entera sobre Linux Kernel Panel. Pero, el momento crucial esta en el minuto [24:15]. 


La verdad es cuando es que el segundo "no" que sale de la boca de Linus me parece muy sincero.  Aunque, esta es solamente mi opinión.

Fuente: http://thehackernews.com/2013/09/us-government-asked-linus-torvalds-to.html

Sed Buenos ;) 

miércoles, 18 de septiembre de 2013

Microsoft.- Vulnerabilidad en IE CVE-2013-3893

Hace mucho tiempo que no os hablaba de vulnerabilidades tal cual, no solo informaros que hay "X" vulnerabilidad en "Y" sistema, si no en explicaros un poco el contenido de ella. Así que, voy a ponerme manos a la obra con la vulnerabilidad CVE-2013-3893.


Esta vulnerabilidad afecta a Internet Explorer versiones 6, 7, 8, 9, 10 y 11 en Windows XP, Vista, 7, 8 y 8.1, tanto Preview como la nueva RTM y no nos salvamos si usamos las versiones de 32 bits  o 64 bits de cualquiera de los sistemas incluso versiones server. Vamos que como no lo parcheemos pillamos fijo. Después del uso de la Vulnerabilidad, la implementacion de un SetMouseCapture en la mshtml.dll (un modulo de IE que contiene funciones de Html-related) en Microsoft Internet Explorer 6 a 11, permite a atacantes remotos ejecutar código arbitrario a través de cadenas JavaScript hechas a mano. 

Lo malo de esta vulnerabilidad es que la tendremos que parchear con Fix It hasta que Microsoft no saque una actualización para este problema. 
También para los que tengáis mas curiosidad sobre esta vulnerabilidad os paso el Security Advisory de Microsoft y echaros un ojo por la cantidad de sistemas que han sido afectados y necesitarían de un parcheado inmediato. 
Sed Buenos con esto ;) 

martes, 17 de septiembre de 2013

Condón USB.- Protege Tu Equipo De Los USB Malignos.

Hace casi un año hablamos de lo peligroso que pueden llegar a ser las memorias USB si se llegan a infectar y os [propuse una solución que no era mas que un simple parche] aunque realmente si que sirve para prevenir parte de esos ataques. Otro tipo de ataques a nuestro ordenador seria por lo que ya se ha bautizado como [Juice-Jacking] (para resumir un poco diré que nunca carguéis vuestro smartphone a un puesto de recarga gratuita por si acaso xD) Así, que se necesita otra medida de protección adicional, de eso se ocupa [int3.cc], un grupo de desarrolladores e investigadores los cuales se dedican ha dar salida a las ideas que tiene la comunidad y que se quieran llevar a a cabo por los propios autores, que nos sorprende con USB Condoms el cual nos permitirá lidiar con ese problema. 

"This isn't a 'business' venture, it is a 'community' venture."


Este Gadtget aparte de estar agotado en pocos días, nos bloquea los pines del terminal USB tanto macho como hembra encargados de la trasmisión de datos. Con lo cual, deja los pines encargados de la alimentación para que el smartphone o cualquier otro elemento se pueda cargar con total seguridad. 


Yo al menos espero que saquen una nueva remesa pronto xD. Sed Buenos ;) 

lunes, 16 de septiembre de 2013

El Lado Claro Oscuro De Encontrar y Reportar Vulnerabilidades

Muchas son las anécdotas de Hacker que tras reportar un fallo de seguridad a una compañía, esta al menos de agradecerlo como haría todo hijo de vecino, le ha dedicado una sonora denuncia. Por que esta claro que si vosotros sois mis vecinos y veo que tenéis la puerta de vuestro piso abierta debo pasar y dejar que entre cualquiera al menos de asomar la cabeza, llamaros y advertiros de su estado. Hay que aclarar que muchas empresas ya tienen su plan de "recompensas" para los Hackers/Security Researchers que descubran agujeros de seguridad, hay otras empresas que aún lo siguen viendo como un crimen. Por eso me ha hecho gracia la siguiente tira. 


Sed Buenos ;) 

domingo, 15 de septiembre de 2013

TOR.- Ostia Tio, Podríamos Pasar Nuestra BotNet Por La Red TOR

Hace un par de días en la entrada donde os hablaba del [Documental Panopticon] y donde dije que el aumento de usuarios en la red TOR era debido al "pánico" generado por la NSA y PRISM. Nada mas lejos de la verdad, al poco rato de publicar la entrada [Juan Carlos Tirado] de [bitacorasenlared] caer en mi error. 


El aumentos de usuarios podía haber sido por el pánico pero una subida de ese calibre es mas probable que haya sido generada por una BotNet. (La verdad es que cuando lo hablamos por twitter empece a ver le la lógica a la subida) Aunque, si quieres que una BotNet esté oculta o no tenga problemas con los tumbamientos que puedan aparecer, no lo hagas en una red donde es sabido que suele hacer pruebas a esos servidores. Pero, la verdad es que si que había una BotNet que usaba la Red TOR y eso fue la consecuencia de que todo ese trafico subiera como la espuma. 
"The attackers decided to hide their control infrastructure on Tor, yet at the same time made their presence on endpoints more obvious, Gilbert said."
Para los que queráis saber mas sobre la esta "TOR BotNet" os dejo el articulo que [Juan Carlos Tirado] me pasó para que me enterara bien de lo sucedido. Gracias, eres un Crack ^^ 
Sed Buenos ;) 

sábado, 14 de septiembre de 2013

¡Un Año De Blog! Muchísimas Gracias a Todos

Pues si, ya he hecho un año desde que me propuse andar seriamente por el mundo de la Seguridad Informática y el Hacking. Una entrada diaria durante un año fue la meta que me marqué cuando empecé el blog con mi hermano el cual ahora trabaja en su Blog [DoubleReboot]. Al final me vi estirando de la entrada diaria yo solo pero, echando la vista atrás no me arrepiento de nada. 

Dibujo de la mano de [Gisela Garcia Hurtado]

Le tendría que dar las gracias a tanta gente que me a apoyado y que ha ido retwiteando o mencionado este blog que seguramente me olvidaría de alguien. Pero, estoy seguro de que leyendo esto algo habrá saltado dentro vuestro, algo que os identifica y os hace grandes. Sois unos Cracks en serio. 

Sin ese apoyo yo no hubiera podido asistir a mi primera NocONName,  ni tener la suerte de ir a Madrid para estudiar para ser un Perito Telemático Forense, o simplemente estar embarcado ahora en la multitud de proyectos donde quiero meter mano. Espero que estos proyectos los podáis ver a lo largo de este mes y ha finales de este año ^^ 

No cambiaría este año por el que bien si no fuera por que espero poder seguir este blog un año mas y espero conseguir que sea mejor que este año. No os voy a decir que lo de la entrada diaria haya sido todo un paseo de rosas. Ha sido una aventura, repleta de altibajos días que parecían que lo tenia todo solucionado y después el "experimento" no funcionaba y tenia que buscar otro tema del que hablar, días en que realmente lo tenia todo por la mano y me daba tiempo a pensar en el anterior, etc. 
Bocetooo 

Pero, sea como sea se ha conseguido y con un total de 367 entradas, ya os he dicho que hay días que estaba inspirado que otros. Así espero que este año que viene sea mejor que el anterior. Solo me queda una cosa que deciros: 

¡¡¡MUCHAS GRACIAS!!!

viernes, 13 de septiembre de 2013

PANOPTICON.- ¿Como Puede Afectarnos la Falta De Privacidad?

La privacidad es una de las cosas que mas valoramos desde el descubrimiento del proyecto prima, esto se ha visto reflejado en el [gran incremento de usuarios que a sufrido la red TOR] en estos últimos meses. Esta claro que la gran mayoría necesitamos que nos expliquen como realmente esta ocurriendo esto, que es lo que hacen con nuestra información y como todo esto diracta o indirectamente puede llegar a provocar algo en nuestras vidas. 


La verdad es que merece un visionado, el documental ya cuenta con mas de 80.000 visita en Vimeo, espero que lo disfrutéis. 



Sed Buenos ;) 

jueves, 12 de septiembre de 2013

Google.- Es Bueno Saberlo

De lo creadores de [¿Que Puedo Hacer Si Me Han Hackeado La Web?]  donde se exponían unos cuantos consejos made in Google sobre que podíamos hacer cuando nuestra web había sido atacada. La empresa del buscador ultra-conocido nos trae unos cuantos consejos que todo deberíamos seguir si queremos navegar de forma segura por la red de redes. 


Ademas de unos consejos bastante buenos nos ofrecen un seguido de herramientas para nuestra seguridad y "privacidad" (espera espera, ya he parado de reírme xD) que pueden llegar a sernos útiles en algún momento tanto a nosotros como a los mas pequeños de la casa. La verdad es que merece la pena que le echéis un vistazo. 


Me encanta que cada vez mas empresas de este tipo se estén sumando al carro de explicar la Seguridad Informatica y aportar soluciones. Aunque también creo que sigue habiendo un desconocimiento generalizado sobre estos temas. Así que me encanta dar bombo a estas iniciativas y ya sabéis que si que si encontráis otras me las podéis mandar al mail o por twitter estoy encantado de hacer una entrada al respecto si es con ese fin. 

miércoles, 11 de septiembre de 2013

ASLR .- Address Space Layout Randomization

Address Space Layout Randomization (donde la traducción mas cercana seria: dirección aleatoria del diseño del espacio) es una medida de seguridad contra ataques del tipos [Buffer Overflow]  de esta manera podemos prevenirnos de una posible una atacante que intente saltar al sistema mediste explotando una determinada función de la memoria. Esto implica tener que disponer aleatoriamente las posiciones de las áreas de datos clave de un programa, que incluyen la parte del ejecutable y las posiciones de la pila, heap, y bibliotecas.

Es un poco antigua pero nos podemos hacer una idea xD

"Un exploit necesita que la zona de memoria destinada a las variables de un programa (en estas variables se guardaría los datos del formulario que el programador, en buena fe, había previsto que fuera el nombre solo con letras) sea ejecutable para introducir en ella su código malicioso. Además ha de conocer una dirección fija del sistema operativo, en la cual existe una llamada a código “arbitrario” y utilizarla como trampolín en el exploit."

ASLR Es una medida bastante útil aunque [empresas como la creadora de Dropbox] aun no sepan para para que existe esta protección. 

Sed Buenos ;) 

martes, 10 de septiembre de 2013

That's Suspicious

Los que estés mas al día de las nuevas versiones de Android, ya sabres del anuncio  de la nueva versión KitKat. Ademas, hacia tiempo que no ponía ninguna imagen divertida y ademas esta va relacionada con todo lo que hemos hablado del proyecto Prism y la NSA. Espero que os guste. 


La verdad es que si que da algo de miedo xD Sed Buenos ;) 

lunes, 9 de septiembre de 2013

Local File Inclusion.- Jpg File Inclusion.

Hace unos días que en uno de mis viajes en tren empecé a revisar papers con mi tablet. Me llamo la atención uno llamado Jpg File Inclusion de Ruben Ventura Piña donde explicaba de una manera muy gráfica y amena este vector de ataque. Jpg Fiel Inclusión no de ja de ser un ataque que se aprovecha de una vulnerabilidad de Local File Inclusion pero, como últimamente ando mucho con el tema de las imágenes y su "tuneo" para hacer el mal me ha hecho especial gracia.

  
Una vulnerabilidad de Local File Inclusión (LFI) es similar a una vulnerabilidad Remote File Inclusion excepto que en lugar de incluir archivos remotos, sólo los archivos locales, es decir solo podremos jugar con los archivos que se puedan incluir del servidor actual . La vulnerabilidad se debe también a la utilización de que en la entrada proporcionada por el usuario no haya la validación adecuada.


De esta manera si una aplicación no tiene la validación adecuada podríamos subir una imagen JPG, la cual, aprovecharíamos para incrustar partes de código arbitrario en Php en ella que, una vez subida el servidor ejecutara ese código arbitrario php que le hemos incrustado. Jpg File Inclusion. 

Para mas información he encontrado el paper en cuestión en SlideShare, así que, os lo dejo por aquí y espero que lo disfrutéis. 


Sed Buenos con esto ;)  

domingo, 8 de septiembre de 2013

Codecademy.- Aprender a Programar Es Fácil

Hace ya casi un año que me adentre en este mundo con cuatro conocimientos de Seguridad informática y unas cuantas clases autodidactas de batch. Ahora no es que sepa mucho mas aunque me he dado cuenta del tremendo mundo que hay por delante, también me di cuenta de que iba a ser necesario saber programar o almenos poder leer código de una manera digna. 

Me encantó encontrar esta pagina, Codecademy es una web donde vas a poder aprender a programar de forma practica mediante tutoriales en castellano o Ingles. En la web existen cursos de Javascript, jQuery, Php, Python y Ruby ademas de poder trabajar con un montón de APIs (Application programming interface) de [bastantes compañas]. 

Captura de pantalla del banco de trabajo que vamos a tener

Seguramente haya muchas mas paginas parecidas a esta pero, es una recomendación personal y ademas le tengo mucho cariño a la pagina (Tiene logros como la Xbox xDD es bastante divertida). Os dejo el enlace abajo. 
Sed Buenos ;) 

sábado, 7 de septiembre de 2013

Curiosidades.- ¡Summon the NSA!

Ayer por la tarde hablando con unos amigo volvió a salir el tema de Estados Unidos, la NSA y PRISM. Estuvimos un rato hablando sobre si eran capaces de cargarse todos los cifrados que quisieran y esas cosas. Hasta que, apareció al Web de Summon the NSA en la pantalla del Hangout. 



El Objetivo de esta pagina es dar a conocer a la gente que esta haciendo la NSA y ya de paso reírse un poco de ella que ya se han reído bastante en nuestra cara durante estos años. La función de ese botón gordo es realizar una búsqueda en google con estas palabras ("Rootkit PLO Chemical weapon Disaster medical assistance team Malware Service disruption Conventional weapon Taliban Suicide attack Tamil Tigers" xD) y de esta manera invocar a la policia o a la misma NSA a que te hagan una visita.

Aquí podréis ver la query a Google cuando apretamos el boton.

No deja de ser una cosa que me sorprende muchísimo encontrar, cada uno expresa su inconformidad como quiere y como Internet, hasta cierto punto, también es nuestro pues que mejor que invitar a la NSA a un Cafe. Para que tenga un poco mas de curiosidad sobre la pagina os la dejo abajo: 


Sed Buenos.

viernes, 6 de septiembre de 2013

X1Red+Segura.- Claves Para Una Navegación Segura

Ayer por la noche no pude evitar, mientras revisaba mi twitter fijarme en un Tweet de [Juan Antonio Calles] (es que esa imagen de Avatar es demasié xD) en el cual se hacia referencia aun un Hangout (una charla por Internet like Skype pero de Google) donde [Angelucho] daba las claves para un navegación segura. La verdad es que me gusto mucho y lo cierto podría haber hablado de ello ayer por la noche pero he esperado a verlo todo para opinar. 


No obstante,  a mi parecer hay algunos temas que se han tratado por encima, como por ejemplo los juegos online donde a mi parecer se le podría haber sacado mucha mas caña al tema porque da para largo. (Tal vez estaría bien para la próxima contar con alguien mas joven o con mas experiencia en ese campo. Yo no digo nada pero ME OFREZCO VOLUNTARIO xD) o con extrema seriedad como ha sido el caso de la edición de vídeo de whatsapp que entiendo que va a ser o debe estar siendo un grave dolor de cabeza para quien tenga de gestionarlo en los colegios. 

Ciertamente comparto el pensamiento de que primero se ha de formar a los padres que a los hijos. Así que , padres, si fuera vuestro hijo os obligaría a ver este coloquio pero como no lo soy solo os lo recomiendo encarecidamente. 


Sed Buenos ;) 

jueves, 5 de septiembre de 2013

CiberEspionaje.- En Tu Centro Comercial Y Cada Día El De Mas Gente

Ayer por la noche me sombró muchísimo (aunque parándome a pensar esto ya se olía desde hace tiempo) encontrarme con un articulo en la pagina web de [Publico.es] sobre como se mueve el negocio del espionaje digital. Ya había oído en algunas ponencias de profesionales de este sector que "software" como FinFisher se vendía como cualquier otro a empresas/países un poco sentido de la ética ni la moral. Pero, no me esperaba que tanta gente se sumara al carro en tan poco tiempo y lo peor es que si no hubiera demanda no estarían saliendo estos productos como setas. 


Bueno dejando un poco de lado este tema que la verdad daría para rato, Os voy a dejar la recopilación de spots publicitarios que utilizan estas nuevas "marcas" para darse a conocer en el mercado. Para los que queras mas información sobre el articulo que he mencionado también os lo dejo abajo. 
¿Alguien piensa en la serie Person of Interest cuando ve esto?

¿En serio Os imaginas a un policía mirando vuestro Skype?  xD

And the Oscar Goes To ...... The Solution by ]Hackingteam[

video

Espero que os hayan gustado y aterrorizado a partes iguales. Sed Buenos ;) 

miércoles, 4 de septiembre de 2013

Corero.- ¿Cuanto Dinero Puede Perder Mi empresa Con Un Ataque DDoS?

Hace mucho que hablamos de la [extorsión a empresas mediante ataques DDoS] (Distributed Denial of Service) y es que aunque ahora la mayoría de [extorsiones se están haciendo  mediante Ransomware]  nada impide que se vuelvan a usar en masa debido a su sencillez. (Algún día haré unas Slides para los que quieran saber un poco mas sobre ataques DDoS) Así que, antes de implementar un equipo de protección contra DDoS  parémonos a pensar cuanto afectaría uno de estos ataque a nuestra empresa económicamente hablando. 


Así, de la mano de [Corero] podremos calcular los costes empresariales de un DDoS gracias su calculadora adaptada para el uso. Es fácil de usar, solo hace falta que pongáis los datos de como queréis que se haga ese ataque, de la importancia de vuestra marca, el numero de ataques anuales que preveáis tener (que si os están extorsionando van a ser un montón),  etc y lo calculara automáticamente. Fácil, rápido y cómodo. 

Como podéis ver no  pide ninguna información confidencial 

De esta manera espero que bastantes empresas empiecen a utilizar esto y se den cuenta de si  le sale favorable la implantación de algún sistema Anti-DDoS o prefieren pagar para llamar a un especialista cuando todo empiece a salir mal. 

Os dejo la dirección de la calculadora aquí abajo: 
Sed Buenos ;) 

martes, 3 de septiembre de 2013

Belkasoft.- Detecting Forged (Altered) Images

Los que seáis seguidores habituales de este blog ya habéis podido ver que últimamente ando bastante metido en el mundo de la Informatica de la imagen. Así que me ha sorprendido mucho encontrar un articulo en la pagina de [Forensics Focus] de la mano de Alexey Kuznetsov, Yakov Severyukhin, Oleg Afonin y Yuri Gubanov  de [Belkasoft Research] dedicado exclusivamente a la detección de imágenes alteradas digitalmente. 


La verdad es creo que este articulo es una lectura obligatoria para cualquier forense digital, aunque está en Inglés la lectura es bastante amena y llega a un nivel mucho mas que aceptable para mi gusto (Esto quiere decir que se me escapan bastantes cosas xDD pero, bueno se ha de aprender). Así que sin mas preámbulos, porque mi intención es que os leáis el articulo, os voy a dejar la dirección aquí abajo  y espero que disfrutéis tanto leyéndolo como lo estoy haciendo yo.


Sed Buenos ;) 

lunes, 2 de septiembre de 2013

Esteganografia.- ¿Escribiendo Estegosaurios?

(Lo siento por el titulo pero me ha hecho gracia) Desde hace tiempo el hombre ha buscado una manera de ocultar mensajes de los posibles enemigos, una buena comunicación era la clave de una victoria o una derrota así que,  inventamos la criptologia y la esteganografia por si uno de estos mensajes era "bloqueado" por el enemigo no pudieran descifrar el significado que contenía. 


La Esteganografia es una parte de la criptologia que estudia las técnicas de ocultar mensajes dentro de objetos. Esto ha sido muy utilizado durante siglos y en el mundo de la Informatica se sigue utilizando.  Es muy común encontrarse imágenes que ocultan datos en su interior (como pudimos ver en el [ultimo Reto de Flu-Proyect])  

Si queréis mas información de como se aplica esta disciplina al arte de la informática os recomiendo la lectura de [Hacking-etico] el cual hizo un post bastante didáctico al respecto. 
Sed Bueno ;) 

domingo, 1 de septiembre de 2013

¿Para Que Me Van A Atacar A Mi?.- Account Credentials - Web Site FTP Credentials & Skype/VoIP Credentials.

Úlltimamente tenia esta sección algo parada y es que me parecían que los temas que venían por tratar parecerían triviales y quedarían unas entradas algo ridículas. Así que me he animado ha hacer las dos que mas me preocupaban en una.

Web Site FTP Credentials


El protocolo FTP esta destinado al envió de archivos entre dos maquinas indemendientemente de que sistema operativo se esté usando. Este protocolo normalmente utiliza los puertos 20 y 21. Es muy normal encontrarse con sitios web lo tienen habilitado para poder gestionar recursos de la pagina. Es tan fácil como en cualquier pagina web random cambiar el https:// por ftp:// y veras como la pagina predirá nombre de usuario y contraseña.  

Como podéis suponer si cualquier administrador se le pierde o le es sustraída sus credenciales van ha hacer hasta vudú con la pagina. 

Skype/VoIP Credentials. 


En este punto no me quiero centrar en como y que es Skype o VoIP (Voice over IP) creo que es fácilmente entendible. Me voy a ocupar de los paneles de control de "centralitas" online que muchas veces no se les presta la seguridad que se le debe. 

Se han dado caso en muchos "Cyber"/"Locutorios" el los cuales ofrecían llamadas internacionales a bajo coste gracias a vulnerar este tipo de paneles. Así que mucho ojo que tipo de contraseñas ponéis, donde las dejáis y en que servidores contratáis vuestro VoIP 

Sed Buenos ;)