martes, 31 de diciembre de 2013

Agradecimientos.- Fin De Lo Que Queda 2013

A pocas horas de acabar este 2013 me vais a perdonar si me pongo un poco "ñoño" con esta entrada pero para mi este 2013 ha sido una aproximación bastante seria al lo que me gustaría dedicarme y no seria yo sin agradecerles a todos los que han hecho posible que yo me interese día a día en actualizar este blog y a pensar nuevos proyectos para mejorar o para empezar a edificar un futuro. 


A veces no han sido los gestos si no la manera de ser de las personas las que me han hecho sentirme parte del mundo de la Seguridad Informática. La verdad es que no se si muchas de las personas que voy a poner en esta lista no se habrán dado cuenta de lo importante que ha sido para mi, y este blog, haber estado en contacto con ellos. 

Intentare ir por orden cronológico aunque va a ser un poco difícil. 

Me gustaría empezar por [Pablo García Gordillo] el cual contesto mi mail cuando le propuse hacer un Pentesting y me acabo acogiendo a la familia que ahora es [FriendsandJob]. Muchas Gracias.

A Snifer de [Sniferlabs] con el cual espero sacar adelante muchos proyectos este 2014 y me ha encanta do aunque hayan sido pocas veces hablar y discutir temas con el. Gracias de todo corazón Bro.

Muchas gracias a [El Doctor Bugs], [Hector] y al mini-equipo de hackers que me acogieron es su chat de Google Plus aunque ahora por temas de universidad no me pase como debería por darme ganas para y proyectos en los que curiosear cada dia mas en este mundo. Vamos, mi familia en este mundillo.

También quiero dar las gracias aunque publique poco a poco a [Angel] de [Seguridad a lo Jabali] que apoyo este blog desde el  primer momento. Muchas Gracias Jabato.

Como no, no me podía dejar a [DoubleReboot] que de vez en cuando, cuando llego a casa,  me sorprende con algún truco que ha aprendido y me enseña a ponerlo en practica si no lo conozco. Es un chute de adrenalina.  Muchísimas gracias tío.

Tampoco quiero dejarme a [Gisela Garcia Hurtado] que por su me gusta, compartir y retweet diario. Si si diario, no dejaría de escribir en este blog nunca. Muchisimas Gracias ^^

Por ultimo, muchas muchísimas gracias a [Merce Molist] de la que ya he hablado muchísimo en este blog y le he dado las gracias hasta la saciedad pero no me cansaría de ello dado que, ella fue la que me invito a la NoCONName con el cometido de vender camisetas. Es una gran persona, una gran profesional y sobretodo una gran enamorada de este mundo.

Muchisimas Gracias a todos por todas vuestras visitas y seguramente me deje muchísima gente pero como a los que me saludasteis en le NocONName de este añ. Pero, creo que en este 2013 ha llegado a su fin y espero que en el 2014 nos conozcamos mas y podamos empezar muchos mas proyectos juntos.

Bye bye 2013 y os deseo una buena entrada en el 2014
¡Feliz Año Nuevo!

lunes, 30 de diciembre de 2013

Pack.- Peleándonos con los RootKits + Algunas Herramientas

A lo largo de estos últimos meses le he dado un repaso chulo a todo el tema de los Root Kits se que faltan muchísimas cosas y que podría haber hecho ejemplos de como hacerlo aunque hubiera muchísimos blogs con ese tipo de entradas. Pero creo, que ya es hora ponerse con otro tipo de cosas así que, os dejo todo el pack y os anexo tres herramientas, las cuales ya he explicado por aquí y van bastante relacionadas con el tema. 

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Peleándonos con los RootKits
Herramientas
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Sed Buenos ;) 

domingo, 29 de diciembre de 2013

Code.org.- The Hour Of Code

Hace mucho tiempo que ando pensando que me parece que tendría que ser obligatoria en cualquier escuela ya sea privada, concertada o pública un mínimo de clases de programación para que los estudiantes sepan que programar no es algo que solo pueden hacer genios. Programar esta al alcance de todo el mundo que pueda permitirse un ordenador y tenga las suficientes ganas para ponerse a ello. Por esta razón desde hace un tiempo he empezado ha seguir todo lo referente a los proyectos de [Code.org] y estoy muy a favor del nuevo Hour of Code.


Aunque el reto que se proponían ya ha expirado creo que la idea de fundamental de The Hour of Code es esencial para las generaciones de nativos digitales. No es posible que en las clases de informática de nuestro país se les esté enseñando a utilizar paint cuando lo tienen mas que aburrido. Así que,  como propósito de año nuevo intentaré que, en mi humilde parte, cambie esa forma de ver esa educación. 


Aún no se bien cual de todas las ideas cada cual mas absurda será la que lleve adelante. pero lo que si está claro y ya lo deje entrever por aquí es que a partir del mes de enero tan pronto como me sea posible voy a dedicar una hora diaria a programar para la distribución Linux para Smartphones TIZEN, el código que vaya haciendo día a día estará comentado por mi e intentare que todos podéis opinar sobre el y me deis consejos.  (Se admiten sugerencias hasta el 31 de enero para ver como monto esta pagina)

No se,  en realidad pienso que si quieres cambiar algo primero tienes que empezar por ti mismo y en local. Para todos aquellos que no sepais por donde empezar os dejo la ruta de code.org a su directorio learn para que podáis hacer y curiosear algunos tutoriales la mar de divertidos. 

Sed Buenos ;) 

viernes, 27 de diciembre de 2013

Ubuntu.- Tener Un Linux No Es Sinónimo De Seguridad.

Hace mucho tiempo, bueno casi gran parte del que lleva este blog abierto, he defendido la idea que cualquier sistema operativo por defecto es un coladero y cada vez que leo una noticia como la que os voy a exponer a continuación me lo corrobora. Hoy día 27 de diciembre ha saltado la noticia por muchísimos sitios de que la distribución de Linux Ubuntu almacenaba las claves de Wifi en texto plano para que cualquiera lo pudiese leer. 

"Las contraseñas de las redes WiFi no se cifran en el sistema operativo Ubuntu aunque se active la opción del cifrado de datos personales de la carpeta /home durante la instalación del sistema operativo. Cuando un usuario activa una opción como tal es de esperar que todos los datos se cifren correctamente: datos personales, fotos, vídeos, textos, contraseñas, etc pero, en el caso de las redes inalámbricas, estas no se están cifrando y están quedando accesibles para cualquier usuario a través de una ruta diferente a la carpeta personal del usuario dentro del disco duro, como texto plano."
 Si queréis saber como solucionar este problema os dejo el link a la fuente de la noticia:

Sed Buenos y pensad en lo poco que piensan ciertas compañías en la seguridad de nuestro sistemas.  ;) 

jueves, 26 de diciembre de 2013

WhatsTheirIP.- Obteniendo La IP Publica Por Un Solo Click

Hace unos días en un ejercicio para la universidad  dedicaba un ejercicio a lo fácil que es montar para cualquiera un ataque de cualquier tipo con un buen Fingerprinting y Footprinting. Está claro que en el caso de una Advanced Persistent Threats es casi seguro que tarde o temprano vamos a conseguir colarnos hasta la cocina, pero si lo que buscamos es una abanico de ataque mas grande son muchas maquinas, sistemas de seguridad, sitemas operativos, etc diferente para que un mismo a taque pueda ser valido para todos. Por esa razón la tarea de Fingerprinting y Footprinting es tan necesaria. 

Pero antes de lanzarnos a lo loco con estas técnicas es necesario la recopilación de victimas o de equipos potenciales a ser infectados. Para eso podemos ayudarnos de WhatsTheirIP una pagina web que generará una ruta a un error, una foto, etc y nos enviará toda la información referente a la IP publica del pobre que le haya hecho a la dirección. 


Un dia tenemos que entrar con lo que podemos hacer con una IP Publica. Pero ne momento os dejo con esta pagina, el procedimiento es muy facil. Solo hace falta un mail darle el botón "Get Link" y spamearlo como si no hubiera un mañana.  

Os dejo la pagina web donde hay una muy buena explicación y un vídeo muy molón donde seguro que os quedará mas claro que si os lo explicara yo. 
Sed Buenos con esto ;) 


martes, 24 de diciembre de 2013

Feliz Navidad .- Dwarf Fortress

A pocos minutos de que Papa Noel llegue a cada una de nuestras casas quiero desearos que paséis lo mejor posible este día de navidad y de fiestas ya sea con la familia o con los amigos. No es el momento de divagar sobre mi vida y este blog pero si es hora de haceros un regalo para cuando tengáis un rato libre y queráis daros golpes en la cabeza. 



No señores hoy no toca regalaros ninguna técnica de seguridad informática ni ningún consejo sino que, para cuando tengáis ratos libres, os invito a que proveéis el juego del que se dice que tiene la curva de dificultad mas grande. Dwarf Fortress. 


La verdad es que llevo unos días con el y no consigo que todo salga a la perfección, os aseguro que hay técnicas Hacking mas fáciles que jugar a este juego. Dwarf Fortress nos lleva a un mundo de fantasía donde controlaremos a 7 enanos, el objetivo es crear una fortaleza funcional y sobrevivir todo el tiempo posible. Este juego donde los mapas están hechos completamente en ASCII requiere de grandes dotes de previsión y mas de algunas veces necesitaremos ayuda de herramientas externar o packs de texturas para hacer un poco mas llevadero el mapa. 


Os dejo toda la información y el sito para descargaros el juego que es completamente Freeware. Ademas de estar programado por un par de hermanos. Este jugo es como programar sabes que va a costar mucho que no va a salir todo a la primera pero notas las ganas de querer entenderlo en la punta de tus dedos al teclear. 


Sed Buenos y pasároslo bien en un dia de celebración como este ^^ 




Alan Turing Recibe AHORA El Perdon Real

Hoy día 24 de diciembre Gran Bretaña le da el perdón real a Alan Turing por haber sido haber sido condenado por homosexual. Esto no seria noticia en este blog si no fuera por que Alan Turing fue que ayudó a ganar la Segunda Guerra Mundial al descifrar el "inquebrantable" Código Enigma de Alemania y que esta condena le llevo al suicidio. Es considerado el padre de la Informática. 


Aquí teneis mas información sobre este "Perdón Real" y sobre Alan Turing. 
Sed Buenos ;) 

lunes, 23 de diciembre de 2013

Microsoft.- Top Cyber Threat Predictions for 2014

El día 12 de diciembre Microsoft saco su bola de cristal y se dispuso a escribir las predicciones de las posibles ciber-amenaza que pueden presentarse este 2014 y la verdad es que ya echaba en falta este tipo de artículos. Vamos a ver el Top 8 de las posibles ciber-amenazas para este 2014.


PREDICTION #1: Cybersecurity Regulatory Efforts Will Spark Greater Need for Harmon
  • Los esfuerzos para regular la seguridad provocará una mayor necesidad de armonización
PREDICTION #2: Service-Impacting Interruptions for Online Services Will Persist
  • Las Interrupciones de Servicios en Línea persistirán.
PREDICTION #3: We Will See an Increase in Cybercrime Activity Related to the World
  • Veremos un aumento en la actividad Cyber-criminal en el mundo. 
PREDICTION #4: Rise of Regional Cloud Services
  • La rebelión de los servicios regionales de la nube 
PREDICTION #5: Dev-Ops Security Integration Fast Becoming Critical
  • Las operaciones de Development para la integración de Seguridad se está convirtiendo rápidamente en Crítica.
PREDICTION #6: Cybercrime that Leverages Unsupported Software will Increase
  • Augmentará la Ciberdelincuencia que aprovecha el software al que no se le de el soporte adecuado. 
PREDICTION #7: Increase in Social Engineering
  • Aumento de la Ingeniería Social
PREDICTION #8: Ransomware will Impact More People.
  • El Ransomware infectara a mas personas.
Si queréis una explicación mas adecuada a cualquier de estos puntos os dejo el link al Blog de Microsoft donde están mucho mejor explicados. 
Sed Buenos este 2014 ;) 

domingo, 22 de diciembre de 2013

Metasploitable.- Arrasa Con Lo Que Veas, Y Generoso No Seas.

Muchas veces cuando descubrimos un nuevo framework de explotación, como por ejemplo metasploit, queremos probarlo y nos volvemos locos para encontrar una forma legal de poder hacer sangre o practicar con estas herramientas de seguridad. El equipo de Metasploit lo sabe y por eso hace tiempo que han lanzado una maquina virtual Linux para estos "experimentos". Así que, arrasa con lo que veas, y generoso no seas


"El nombre de usuario y contraseña por defecto es msfadmin:. msfadmin Nunca exponga el VM a una red insegura (uso de NAT o Host modo sólo si usted tiene cualquier pregunta lo que eso significa). Una vez que haya descargado la VM, extraiga el archivo zip, abrir el archivo vmx usar su producto VMware de elección, y encenderlo. Después de un breve tiempo, el sistema será arrancado y listo para la acción."

Os dejo el link de la descarga y mas información sobre esta maquina virtual por aquí abajo, ojo que hay spoilers. 

Sed buenos con esto y aprended mucho mas ;)

Infografia.- Resumen 2013

Ya estamos en le recta final del año y es momento para darle un repaso a la seguridad informática de este año de la mano de una infografia.  Siempre es mucho mas apetecible ver dibujos a que os meta el tostón yo.


Sed Buenos ;) 

viernes, 20 de diciembre de 2013

WinDbg.- Interceptar Rutinas A Través De SSDT

Me encanta aprender cada día mas sobre el tema de los Rootkits y su detección. La verdad es que cada vez que me pongo con esta serie de entradas aprendo mucho y la verdad es que me divierto intentándolo entender todo. Hoy entraremos un poco en el mundo de la interceptar de rutinas a través del SSDT. 

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Peleándonos con los RootKits
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////


SSDT (System Service Descriptor Table) es una mesa de atención de servicios del sistema que contiene las direcciones del punto de entrada de los servicios del núcleo NT. De esta manera, un rootkit puede controlar las rutinas del sistema, la filtración de datos "no deseados".

El flujo de código mediante la rutina de escritura de archivo del SSDT puede ser modificado. Esto puede conducir a la activación de rootkit.

Todos los punteros se hace referencia en SSDT deben hacer referencia a las rutinas implementadas en cualquiera "nt" o biblioteca "win32k". Por lo tanto, al comprobar estos punteros para intercepciones, se debe verificar si los punteros SSDT se refieren en realidad a una de esas áreas de memoria. La secuencia de comandos devuelve una lista de todos los punteros SSDT, así como los módulos de memoria que se refieren. Si el script detecta una biblioteca de terceros en lugar de un sistema de una sola, que marcará estos hechos con la palabra "Hook".

Espero que lo hayáis entendido todo y espero ya yo tambien xD Sed Buenos ;) 

Cumpleaños.- Regalos y Regalos.

Hace un par de días fue mi cumpleaños y  como no, mi familia ya empieza a saber que yo, el blog y la seguridad informática nos vamos a llevar muy bien y quería destacar un par de regalos que me han hecho mucha ilusión. 

Para empecer me regalaron algo que no me podía imaginar. Un Albert Detective sacado de la serie de entrada de este blog [Albert's Daily] donde hago una historia/novela cada vez que me propongo hacer un reto. 


El Segundo me llegó ayer de la mano de [DoubleReboot] fue el Libro de la editorial 0xWord Pentesting con Kali al que le tenia muchas ganas desde que lo anunciado en [Cálico Electrónico].


Muchas Gracias a todos los que me felicitasteis y se que esta entrada tendría que haber sido publicada ayer, pero entre la universidad y las cenas de empresa voy algo corto de tiempo. 

Muchísimas Gracias a todos y Sed Buenos ;)  

jueves, 19 de diciembre de 2013

RecoverRS.- Recuperando Urls De Acceso A Sitios Web

Volviendo un poco a los temas de forenses hoy he dado con la siguiente herramienta. Hacia mucho que quería volver dado que es una de mis pasiones y ojala me tocara estar de becario trabajando junto a periros telemáticos Seniors. Pero hoy no vengo ha hablaros de mis prespectivas de futuro sino de la herramienta RecoverRS.


Basadas en una investigación en el Internet [Explorer Automatic Crash Recovery Files] fueron creados dos comandos, RipRS y ParseRS. Ambos, "fusionados" se conoce como RecoverRS. RipRS está diseñado para extraer los archivos de la ACR de una imagen de disco sin procesar utilizando desplazamientos decimales conocidos. Mientras que, ParseRS están diseñados para extraer la información de navegación a partir de archivos de la ACR. 

Es una herramienta bastante útil y os recomiendo la lectura de su manual en la pagina oficial de la herramienta que os voy a poner aquí abajo. 

martes, 17 de diciembre de 2013

Parsero y los Robots.txt

Hoy dándole a la cabeza para montar una plataforma donde podáis seguir, comentar y ayudarme (por favor xD) todos mis avances para cuando empiece con mi el tema de [The Hour of Code]  dedicado a TIZEN, he dado, a través de Twitter con una herramienta muy chula para las audiotirias de robots.txt llamada Parsero.   


"Pero ... ¿Por qué los administradores quieren ocultar algunos directorios web a los rastreadores?"

"A veces quieren ocultar el portal web de acceso, gestión de directorios, información privada, datos sensibles, la página con vulnerabilidades, documentos, etc .. Si se esconden estos directorios de los rastreadores, entonces no pueden ser encontrados haciendo Google Hacking o simplemente buscando en los motores de búsqueda ..."

La propiedad de esta herramienta  corresponde al blog [behindthefirewalls] donde hay un completo tutorial de como descargarlo, la versión de python que necesitaremos y como utilizarlo. Así que os recomiendo su visionado y la descarga de esta herramienta desde su blog. 
Sed Buenos con esto 0;) 

WinDbg e IDT

Hoy seguimos peleándonos contra RootKits y buceando un poco mas en WinDbg que, como ya dije,  es una de las tantas áreas que no había tocado y tenia ganas de aprender muchísimo mas. 

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Peleándonos con los RootKits
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Las aplicaciones en modo de usuario que solicita la ejecución de una función a nivel del sistema tendrán que elevar su nivel de privilegios.Esto se implementa a través de las interrupciones del programa.

En Windows NT, una petición del sistema se inicializa ejecutando el comando "int 2e". El comando "int" hace que la CPU genere una interrupción del programa, en referencia al índice de IDT "2e" y la lectura de los datos de esa dirección. El procesador establece valor del puntero a la desviación de la rutina de servicio de interrupción almacenada en la tabla. (uffff eh xDD ya os dije que las entradas que venían eran duras) Las llamadas al sistema estarán utilizando KiSystemService.

En WinDbg, el "idt! 2e" es el comando muestra el valor del puntero de rutina. Normalmente, el puntero de rutina se establece en la dirección de KiSystemService. Si este no es el caso, la rutina ha sido interceptada.

domingo, 15 de diciembre de 2013

Concurso.- 30.000 visitas. ¡Gracias a todos!

Hace mucho,  que quería hacer un concurso en este blog pero no fue hasta la pasada [NocONName] donde hablando con [Mercè Molist] se me ocurrió y que mejor manera que hacerlo para las 30.000 visitas a este blog. Lo cual, me hace especial ilusión por que no me esperaba ni de lejos que llegara a estas cifras. 

Bueno, como haremos el concurso y que sortearemos. El premio será una camiseta de Hackstory talla L (Bastante chula os dejo la imagen del estampado abajo). 


¿Como consigo una? Como ya sabréis, o os habréis dado cuenta los mas allegados a este blog que aun no he hecho el ultimo capitulo de la serie Albert's Daily justamente el Castastrofe aerea (6/6). Ciertamente todo el reto ya estaría acabado. Pero estaría genial que acabarais vosotros esa parte de historia.

Así que, hasta las 13:59 del día 25 de diciembre, podéis enviarme vuestros finales a la cuenta de correo statexblog@gmail.com el mejor o el que me parezca mejor a mi mejor se llevará la camiseta. 

Os dejo aquí abajo todos los pack con todas las entradas de la historia para que os hagáis una idea. 

######################################################

1. Albert's Daily - Guy! Where is the info?: 

######################################################

######################################################

Muchas Gracias por seguir a este blog y espero llegar a 30.000 visitas mas ^^  Sed Buenos ;) 

sábado, 14 de diciembre de 2013

No Querías FOCA Pues Toma Dos Tazas

Hace tiempo que os dije que la FOCA estaba "muerta" al finalizar Informatica 64 y aun no sabían que hacer bien bien con ella. Cual ha sido mi sorpresa al ver que, [en tierras malignas], habían sacado la versión final de la FOCA. Hace dos días, os pase [un pack con todas las entradas] que hice con esta herramienta siempre en su versión Free y tenia ganas de hacer me con una versión mejor. 


Siento que la entrada sea tan corta hoy pero tengo muchas ganas de empezar a cacharrear con esta nueva versión y con sus plugins. Os dejo el enlace por si os la queréis descargar. 


Sed Buenos con esto 0;)

viernes, 13 de diciembre de 2013

Introducción a WinDbg.

Como sabéis llevo una semana dándole duro al tema de los RootKits y después de haber dado un [rápido repaso por los tipos de volcado de memoria] es el momento de introducirnos en el mundo de WinDbg. Esta sera una serie mas de entradas pero es una parte que yo no había tocado en absoluto y ahora veo que es de lo mas fundamental para pelearnos contra RootKits.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Peleándonos con los RootKits
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////


WinDbg es una herramienta de depuración multifuncional proporcionado por Microsoft con Microsoft Windows. Se puede utilizar para depurar aplicaciones, controladores o el propio sistema operativo en modo kernel. WinDbg ofrece una cómoda (no es todo lo que me gustaría, pero cómoda lo es) interfaz gráfica de usuario. 

WinDbg trabaja exclusivamente con los volcados del tipo crash dump. Aunque, cualquier otro tipo de volcado de memoria se puede convertir a ese formato con [Memory MoonSols].

Enfocando un poco el uso de WinDbg para detectar rootkits en volcados de memoria debemos saber que Windows contiene varias tablas de puntero para manejar petición redirecciones. Estas tablas incluyen IDT (Interrupt descriptor table), SSDT (System Service Descriptor Table) y IAT (Import Address Table). Aunque un rootkit puede modificar cualquier puntero en estas tablas, o cambiar la propia tabla.

Creo que hasta aquí esta bien para todos, Sed Buenos ;) 

jueves, 12 de diciembre de 2013

Internet Gratis Incitando al Crimen Desde Siempre.

Llevo unos días  fijándome en el siguiente cartel, la verdad es que me ha impresionado por el carácter emprendedor y el sistema de marketing que tienen montado. Pero ... incitan de mala manera. 


Esta bien, es una buena oferta, con una garantía de 2 años, si no logran conectarte no pagas nada pero, te exponen a que cualquier bicho pata con melena, también conectado a este punto de red, haga con tu equipo de todo menos budú. Así que, ¡no incitemos a los hacker que pueda haber por el vecindario por favor! xD

Sed Buenos ;) 

FOCA.- ¡Este Me lo Pido Para Los Reyes!

Muchos sabréis que la FOCA ha sido una de mis debilidades durante este año de blog. Sabiendo esto os podéis imaginar la cara de felicidad que se me ha puesto al descubrir que, [por territorios malignos], van a publicar el libro de Pentesting con FOCA. 


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
¡Fear The FOCA!


//////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Os dejo abajo la ruta a la editorial 0xWord donde lo podréis reservar, descargaros el indice y porque no, curiosear otros títulos.


Así que, ya sabéis lo que regalarme para Reyes Magos. Sed Buenos ;)

Yo este año me he portado bien 0;) 

miércoles, 11 de diciembre de 2013

Tipos de Volcados De Memoria

Como ya vimos en entradas anteriores los volcados de memoria serán una de las herramientas mas efectivas a la hora de pelarnos con los RootKits.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Peleándonos con los RootKits
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Los volcados de memoria
Hay cuatro tipos de volcados de memoria:
  • Crash dumps: Son archivos creados cuando el ordenador se bloquea. Todo el contenido de la memoria del sistema se guardan en un archivo.
  • Raw dumps: Son instantáneas completas de la memoria del sistema operativo.
  • hiberfil.sys: Es un archivo utilizado por el sistema operativo para permitir la hibernación. Cuando está en hibernación el sistema operativo, el contenido de la memoria volátil del ordenador se almacena en este archivo. El tamaño de este archivo será igual al tamaño de la memoria RAM del ordenador. Tenemos que tener en cuenta que las zonas asignadas en memoria que se almacenan en el disco duro no se guardan en hiberfil.sys.
  • Vmem: Es un archivo creado por VMware. Este archivo contiene toda la memoria volátil de una máquina virtual (incluido el contenido del archivo de paginación).
Sed Buenos ;) 

martes, 10 de diciembre de 2013

No Me Digas Que Pa' Delinquí Se Ha De Estudia'

Hoy ha sido el día de la salida del nuevo episodio de Cálico Electrónico, como fan que soy desde que lo descubrí en el instituto y mas ahora que lo ha comprado una [empresa relacionada con la seguridad informática] (Bueno, ahora forma parte de 0xWord). Cual a sido mi sorpresa de que mi primera risotada a llegado en el primer gag publicitario, me ha gustado tanto que me lo he bajado lo he recortado y lo he subido a mi cuenta de Youtube para tenerlo hasta que Google quiera cerrar Youtube. Miradlo no tiene desperdicio.


Lo cual viendo estos libro me hace recordar a como estaba yo hace mas o menos un año cuando me pedi mi primer lote de libros a Informatica64/0xWord justo a DoubleReboot y les dedique la entrada [¿Que Puedes Hacer Cuando Descubres Que No Sabes Nada?]. La verdad es que cuando empiezas a rebuscar información que piensas que va a ser muy poca y empieza a salir hasta de debajo de las piedras convertida en paper muy buenos. 

Y es verdad que para preparar cualquier "experimento" con teniendo claro lo que hace y por que no funcionaran  las cosas por X o Y razones has te haberte leído mas de un paper o libro. Por eso, me ha encantado ese trozo, aunque os aconsejo ver el capitulo entero que merece mucho la pena. 

Sed Buenos ;) 

Como Trabajan Algunos Rootkits

Esta entrada viene a colación de la de ayer. Prefiero hacer las entradas mas pequeñas así nos enteramos todo de todo y me sirve para aprender mucho mas. 

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Peleándonos con los RootKits
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////


Rootkits de modo usuario: Este tipo ejecuta su código en el "lease privileged" del modo de usuario. Estos rootkits utilizan extensiones y plugins (por ejemplo, extensiones de explorador de Windows o Internet Explorer) del programa. Los cuales, pueden interceptar las interrupciones o usar un depurador, explotar fallos de seguridad y el uso de la función de enganche "Hook" de API utilizado en los conjuntos de datos de todos los procesos.

Rootkits en modo kernel: Estos se ejecutan en los modos del kernel más privilegiados del sistema. Los cuales pueden incrustarse en los controladores de un dispositivo, modificar directamente los objetos del núcleo (directly modify kernel objects (DKOM)), y/o afectar a la interacción entre los modos de usuario y kernel. 

Gestores de arranque: Este tipo de rootkits modifican el registro de inicio maestro. Master Boot Record (MBR). 

Modo Hypervisor: Algunas CPUs recientes ofrecen un modo de funcionamiento adicional conocida como el modo de hipervisor. Hypervisor es un pequeño núcleo que controla la distribución de recursos entre múltiples sistemas operativos. Funciona un nivel más bajo que los sistemas operativos. En términos x86, este modo se conoce como. En este nivel, los rootkits pueden interceptar las peticiones de hardware del sistema operativo host. En este momento, no hay rootkits conocidos de aplicación de este enfoque en la naturaleza, sólo existen algunas versiones de demostración.

Firmware: Estos rootkits modifican el firmware de ciertos dispositivos, como tarjetas de red, discos duros o el BIOS de la computadora.

Sed Buenos ;) 

domingo, 8 de diciembre de 2013

Clasificación De Rootkits

Hoy vuelvo a la carga con la serie de entrada para entender mejor a nuestros amigos los Rootkits. La entreda de hoy será un poco corta porque, hablando claro, seria demasiado larga para un domingo por la noche. Así que espero que os guste y si queréis mas información os recomiendo mis entradas anteriores donde si que hay bastante chicha. 

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Peleándonos con los RootKits
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////



En Windows, los rootkits trabajan mediante la modificación de los datos y el código ejecutable en la memoria volátil del ordenador (RAM). Desde este punto de vista, hay dos grupos de rootkits:
  • Los rootkits que modifican la ruta de ejecución;
  • Los rootkits que realizan la manipulación de objetos kernel directa.
Otra clasificación se refiere a las áreas de memoria afectados por rootkits:
  • Rootkits de modo usuario
  • Rootkits en modo kernel
  • Gestores de arranque
  • Modo Hypervisor
  • Firmware
Explicaré una por una en las entradas que vienen, pero creo que esto es lo justo para un domingo por la noche. (xD)

Sed Buenos ;) 

Microsoft Digital Crimes Unit.- Microsoft, FBI y la Botnet ZeroAcces

Hace unos días, mas concretamente el 5 de diciembre,  Microsoft publico la noticia en su [News Center] del cierre de la botnet [ZeroAcces] con la ayuda del FBI y mas socios.  Bien, esto no seria noticia en este blog si no hubiera algo que me hubiera llamado mucho la atención y es que, en el enlace de la noticia, había una reseña a la unidad de delitos digitales de Microsoft de la cual desconocía completamente su existencia.

"The Microsoft Digital Crimes Unit is an international legal and technical team working with partners to help create a safe digital world. Our team is comprised of nearly 100 attorneys, investigators, and forensic analysts around the globe, with expertise across the areas of malware, botnets, IP crimes, and technology-facilitated child exploitation."

La verdad, es que no tenía ni idea de la existéncia de éste grupo. Me gusta ver cada día más que grandes empresas del mundo de la telemática cooperan para hacer frente a ciber criminales junto a cuerpos de seguridad. Aunque me hace pensar en el tiempo que tendrá que pasar para que ésta política de seguridad sea un estándar para todo el mundo,  incluída España. Si que hay cooperaciones del estilo en éste país pero me gustaría que las grandes empresas de aquí también colaboraran para hacer frente a éstos ciberdelincuentes.

Sed buenos ;)

viernes, 6 de diciembre de 2013

Parrot AR.Drone Hackeado Con Una Raspberry Pi

Después de las dos entradas pasadas de carácter teórico hoy me apetecía escrivir sobre una noticia de que vi hace un par de días y la verdad es que venia como anillo al dedo a la propuesta de amazon de [repartir libros a trabez de drones]. Estamos hablando de ni mas ni menos del hackeo de Drones AR.Drone una Raspberry Pi, imaginaros si los malos se pusieran en serio. 


Esta vulnerabilidad ha sido descubierta por [Samy Kamkar] el cual no solo ha hecho una [guía/Paper] para que la podamos realizar todos sino que también se ha grabado en vídeo y lo ha subido a youtube. Os dejo el vídeo debajo. 


Sed Buenos con esto ;) 

jueves, 5 de diciembre de 2013

Rootkits.- Métodos de Análisis y la Detección

Hoy vamos a echar un vistazo a algunas técnicas de detección de rootkit basados ​​en el análisis de volcado de memoria y otros métodos, va a ser una entrada bastante teórica así que voy a ponerme un poco profe con todo esto. 


Análisis del volcado de memoria

Los volcados de memoria [contienen instantáneas estáticas de la memoria volátil del ordenador] (RAM). Es posible crearlo para un solo proceso, núcleo del sistema o todo el sistema. Mediante el análisis de estos volcados, los examinadores pueden garantizar un entorno de trabajo limpio y sin resistencia activa desde el rootkit. Las técnicas utilizadas en el análisis de volcado de memoria también pueden ser desplegados en un sistema vivo, con restricciones. Normalmete la extracción se offline para evitar cualquier conexión que pueda interferir en nuestro análisis. 

Técnicas de detección de rootkits

Hay varias técnicas disponibles para detectar rootkits.

Análisis basado en firmas

Este método utiliza firmas características (una secuencias de bytes fija) de rootkits conocidos. La mayoría de las herramientas anti-virus utilizan firmas extraídas de muestas de rootkit (por ejemplo, de archivos o de paquetes de red). Además, hay modelos heurísticos y de comportamiento sobre la base de ciertas actividades típicas de un rootkits (por ejemplo, un uso agresivo de un determinado puerto de red en el equipo).

Detección Intercepciones

Windows utiliza tablas de puntero para redirigir las solicitudes del sistema, por ejemplo, IDT (Interrupt Descriptor Table), SSDT (System Service Descriptor Table), IAT (Import Address Table). Rootkits pueden sustituir o modificar estas tablas para especificar sus propios controladores para ciertas interrupciones. Como resultado, las solicitudes de determinadas funciones del sistema operativo siempre se entregarán al rootkit, lo que permite que el rootkit para detectar y contrarrestar los esfuerzos de detección. 

Comparando datos de distintas fuentes

Con el fin de enmascarar su presencia, los rootkits pueden alterar ciertos datos que son devueltos al examinador. Por ejemplo, mediante la sustitución de la API de alto nivel con sus propios controladores. Por lo tanto, es posible detectar su presencia mediante la comparación de resultados devueltos con llamadas del sistema de alto nivel y  de bajo nivel.

Otra variación de este método se basa en la comparación de la memoria de procesos cargados en la memoria volátil del ordenador con el contenido del archivo almacenado en el disco duro (herramientas como [RootkitRevealer]  están utilizando este enfoque).

Comprobación de integridad

Una firma digital (por ejemplo, con una función hash criptográfica) se calcula para cada biblioteca del sistema en el comienzo mismo (cuando el sistema está limpio, que no suele ser siempre xD). Después de eso, las bibliotecas se pueden comprobar por alteración código. Herramientas como [Tripwire]  están utilizando este método.

Se que es una entrada algo pesada pero me apetecía. Sed Buenos ;) 

miércoles, 4 de diciembre de 2013

Introducción A Los RootKit

El término rootkit se refiere, originariamente, a un grupo de pequeñas herramientas practicas que permiten a los desarrolladores mantener el root (el modo administrador) en las  funciones del sistema operativo. 

En esencia, los rootkits son herramientas que utilizan ciertas técnicas a los mecanismos de protección del sistema de derivación y algoritmos para enmascarar su presencia en el sistema. Como casi cualquier tecnología, los rootkits pueden ser utilizados con fines maliciosos y legítimas. Por mucho que sufrir la asociaciones con malware, todavía se utilizan rootkits (aunque de una manera bastante polémica) por empresas legítimas. Por ejemplo, Sony utiliza para incrustar la tecnología basada en rootkit en varios títulos de CD de audio en un intento de evitar la duplicación no autorizada. Al final resultó que, utilizando rootkits no era la mejor idea después de todo, y después de varias demandas de la compañía se vio obligada a recordar títulos de CD afectados


la mayoría de los rootkits se utilizan en combinación con los virus, troyanos y gusanos informáticos con fines maliciosos de forma explícita. Por lo tanto, los desarrolladores de antivirus crean una variedad de herramientas para el descubrimiento de rootkits. Hay varios tipos de herramientas anti-rootkit basado en varios principios.
  • Firewalls el tráfico de red de filtrado y la detección de las actividades de red sospechosas;
  • Sistemas de detección de intrusiones (IDS)  
  • Sistemas de prevención de intrusiones (IPS) 
en otras entradas aprenderemos a analizarlos y a entenderlos. Sed Buenos ;) 

Videos.- Inspeccionar Elemento, Flickr y el Arte de la Descarga de Fotos

Hace tiempo que me puse a inspeccionar la multitud de paginas web para subir fotografías como Instagram, Flickr, 500 px , etc y me di cuenta de que todas ofrecían una falsa seguridad. Por eso,  me decidí a escribir el que ahora es la entrada mas popular de este blog [Descargando Fotos de Instagram, Flickr y 500px .- ¿De verdad Están Seguras Mis Fotos?] y acto seguido (y esta es la parte que no sabéis) grave un par de videos para Youtube para que la gente viera lo fácil que era extraer esas fotografías.


Tengo a mi alrededor mucha gente relacionada con el mundo de la fotografía y que no le gustaría que su trabajo fuera copiado por terceros y quería demostrarles lo poco seguras que son este tipo de pagina. Tampoco lo considere como una vulnerabilidad propiamente dicha ya que con aprender lo básico de Html 5 o en algunos caso haberte pasado un rato tocando botones en la opción, "Inspeccionar elemento" de Google Chrome pues no era para darle mucho bombo. 

Pero, hoy leyendo mi ración de blogs diaria (si, es como una droga mas o menos XD)  ha habido [un entrada especial que me ha llegado] y por esta razón he decidido compartirlos con la comunidad para aquel que le interese. 

Como Descargar fotos en Flickr: 
  • Mozilla Firefox: 

  • Google Chrome:

Este método es exportable tanto en Instagram, como en 500 px. Todos comprobados a día de hoy. Espero que os gusten. 

Sed Buenos Con Esto ;) 

martes, 3 de diciembre de 2013

Perparando TIZEN Hack Battle .- Descubriendo TIZEN

Ayer manifesté mis ganas de asistir a la TIZEN Hack Battle para la que estoy organizando un equipo [¿Alguien quiere venir?]. Pero supongo que antes que pediros asistir a un fin de semana de pura programación y creatividad es muy recomendable que os habla de TIZEN y de lo que me voy a ir encontrando con este sistema operativo a lo largo de estas dos semanas, en las cuales, voy a irme preparando para el Hackaton. 


Tizen es de código abierto, basado en estándares, respaldado por bastantes empresas punteras en el mundo de los smartphones y, lo que para mi lo hace mas atractivo, el proyecto reside en la Linux Foundation. Tizen nos proporciona un entorno muy chulo para la creación de aplicaciones, basadas en HTML5. (¿diox en HTML 5? Si si). Con capacidades sólidas de HTML5 y la flexibilidad de la plataforma, se está convirtiendo rápidamente en el entorno de desarrollo preferido para aplicaciones y servicios móviles. (aunque no guste se ha de reconocer que es así).

La API y el SDK de Tizen permiten que los desarrolladores utilicen HTML5 y tecnologías web relacionadas para escribir aplicaciones que se ejecutan en múltiples segmentos de dispositivo. Así que le voy a tener que dar caña a mi HTML 5 a JQuery y a Canvas si quiero presentarme de una manera solido al Concurso. 

Os dejo el SDK que me estoy descargando en estos momentos y la pagina oficial del S.O. donde encontrareis toda la información que querais. 
Sed Bueno y a practicar mucho ^^ 

lunes, 2 de diciembre de 2013

¿Alguien viene conmigo?.- TIZEN Hack Battle Toulouse vs Barcelona

Buenas esta mañana en la universidad me ha llegado un mail de mi tutora. Cual ha sido mi sorpresa al ver que nos aconsejaba a ir al Hackatón que organiza [TIZEN] (no la baronesa sino la distribución smartphones) los días 13, 14 y 15 de diciembre. ¡Tengo ganas de ir!



"El Hackahton es simultáneo entre Toulouse y Barcelona. 4000$ de dotación en total y un premio sorpresa para los ganadores finales." 
"El objetivo del Tizen Hack Battle es desarrollar en equipo una aplicación móvil para Tizen, el nuevo sistema operativo de codigo abierto es apoyado por la Linux Foundation, Samsung e Intel. Al final del Weekend una votación online elegirá el equipo ganador entre los ganadores de Barcelona y los de Toulouse. Un total de 4.000$ en premios y una sorpresa para el ganador final. Si eres desarrollador, diseñador o simplemente tienes una idea de aplicación, este evento está hecho para ti. ¿Ya hiciste una aplicación web y quieres hacerla funcionar en Tizen durante el Weekend? También puedes participar en el concurso."
Des pues de este copia pega rápido vine mi propuesta. ¿Alguien quiere montar un equipo? *_*  Para los que queráis mas información os dejo la dirección a .-la pagina web del Hackatón.

domingo, 1 de diciembre de 2013

Paper.- Sophos What is Zeus?

Como ya sabréis, mi fascinación por este troyano no tiene limites y hace tiempo que tenia pendiente hablaros sobre este paper. Hace tiempo que la empresa Sophos lanzo un estudio bastante interesante sobre Zeus  y lo recogió en un paper llamado What is Zeus.  


La verdad es que he tardado lo mio para leermelo y entenderlo medianamente, pero no deja de ser un trabajo muy bien parido y, espero, que después de leerlo entendáis mi fascinación sobre este malware. Os lo dejo aqui abajo. 


Sed Buenos ;)