jueves, 30 de abril de 2015

Configura De Forma Segura tu Android 4.4

Muchas veces os hablo de vulnerabilidades que pueden afectarnos y de como mitigarlas o solucionarlas a través de parches o consejos pero hoy os quiero recomendar un vídeo lanzado por OSI (la Oficina de Seguridad del Internauta) sobre como configurar de forma segura nuestros Smartphones con Android 4.4 (KitKat). Es que, siempre hago hincapié en al parte técnica y ya era hora de enseñaros algo que pueda hacerlo cualquier usuario. 


Espero que os sirva para mejorar vuestros conocimientos en seguridad y como siempre, si teneis mas curiosidad no olvidéis ir a la fuente:


miércoles, 29 de abril de 2015

Google Analiza el DDoS a GitHub

Hace ya un mes GitHub revivió uno de los ataques DDoS mas grandes de su historia, el cual resolvieron bastante rápido pudiendo dar servicio a todos sus usuarios en menos de un par de días. ¡Un punto para la gente de GitHub!

Hoy estando en plana cacería de vulnerabilidades me ha saltado el análisis que Google ha hecho sobre este ataque. La verdad es que me parece la mar de curioso ya que los primeros síntomas ya empezaron el 3 de marzo pero no fue hasta os días 12 o 13 donde empezaron a tener serios problemas.


Después de la gráfica y por si tenéis mas curiosidad os dejo el enlace al análisis que realmente merece que le echéis una ojeada:
Sed Buenos ;) 

martes, 28 de abril de 2015

¡En Mi Casa No Entra Un iOS! DDos De iOs Al Conectarse A Una Wifi

Hace tiempo hablamos de una [vulnerabilidad parecida en Android] que al conectarse a un punto de acceso de la marca Wifi Direct Android podía generar una denegación de servicio para si mismo. Pues lo mismo pasa con iOS aunque los investigadores que han encontrado esta vulnerabilidad,Yair Amit y Adi Sharabani de la empresa Skysekure, ya la han bautizado con el genial nombre de No iOS Zone. El cual me encanta. 


"Un error que reside en el tratamiento de certificados SSL específicamente creados, de forma que se puede provocar la caída de cualquier aplicación que use este tipo de comunicación. Como la mayoría de las aplicaciones de la App Store emplean este tipo de comunicación, la superficie de ataque es muy amplia. Sabíamos que cualquier retraso en parchear la vulnerabilidad podría llevar a un
impacto"

Mitigaciones:

  • Desconectate de la wifi o cambia de lugar si experimentas demasiados reinicios o crasheos en tu iOS. 
  • Deberías actualizar a la ultima versión de iOS 8.3 la cual corrige este error. 
  • En general deberías desconfiar y mucho de las “FREE” Wi-Fi network.

Vídeo de la PoC de esta vulnerabilidad:


Muchas mas información y fuente de la noticia:


Sed Buenos ;)

lunes, 27 de abril de 2015

Wordpress 0'day XSS Stored

Hace unos días que llevo viendo bastantes vulnerabilidades que afectaban a Wordpress. La verdad es que no me sorprende demasiado que le estén dado caña a este motor web. Pero, lo que mas me llama la atención que aun queden vulnerabilidades tan bestias como esta después de 14 meses.

Juoko Pynnonen de Klikki Oy informó de un nuevo y cross-site scripting vulnerabilidad sin parchear almacenado en la plataforma; un error similar fue parcheado esta semana por los desarrolladores de WordPress, pero sólo 14 meses después de que se informó. 

Aquí os dejo el vídeo donde podéis ver todo el disclousure de este XSS reportado hace un año y dos mese que gracias a dios ya ha sido parcheado por Wordpress por que si llegamos a esperar mas...


Si queréis mucha mas información sobre este fallo: 
Sed Buenos con esto 0;) 

domingo, 26 de abril de 2015

Vídeo.- Huellas En La Memoria Para Analisis De Malware

Seguimos con la tradición de una entrada rápida los domingos ya sabéis que hoy toca un vídeo o una infografia. Así que y dado que la gente de UPM TASSI aún no han subido todas las ponencias,  Os recomiendo un vídeo que vi hace unos días y que tenia guardado en la carpeta de "por si acasos". 

De esta manera os dejo con la ponencia de Mateo Martinez en la  DragonJAR Security Conference 2014 sobre las huellas en la memoria para análisis de malware:


Espero que os guste y que aprendais mucho.

Sed Buenos ;)

viernes, 24 de abril de 2015

Un Dibujo, Una Foto.

Ayer fue el día de Sant Jordi una tradición catalana que viene de lejos y que consiste en regalar rosas a las chicas y libros a los chicos. Aunque recibí un regalo inesperado de la creadora de los pingüinos avatares de este blog. No lo subí ayer ya que ya había hecho la entrada pero creo que hoy es un día genial para compartirlo con todos vosotros. 


Los que conozcáis la leyenda ya interpretares que esta pasando en la ilustración pero los que no os invito a leeros la leyenda de Sant Jordi. 

Ilustración realizada por Gisela Garcia Hurtado del blog Salmon's Art: 

Por otro lado hoy he ganado mi primera CTF quedando como el mejor equipo de la oficina. A que no adivináis como se llamaba el equipo: 


La verdad es que no he puesto yo en nombre pero me ha gustado mucho. Creo que he de darle mas caña a los retos que hay en Internet ya que solo el echo de participar en esta ctf me ha encantado. 

Sed Buenos ;)

jueves, 23 de abril de 2015

Como Saber Si Un Mail Es Spam Por el Remitente

Ayer estuve jugando un poco con mi herramienta para extraer correos electrónicos de paginas web, por vicio y por ver donde podía mejorarla. Así que me fui directo a Paste bien busque direcciones de correo y me puse a extraerlas. Vi que habían direcciones de correo repetidas en varias paginas de pastebin y cogí una al azar y la busqué en google a ver que pasaba. 

Google me llevo a FSpamlist. Esta página no solo hace el recuento de las veces que se reporta una dirección de correo electrónico, sino que las almacena, les otorga grados de severidad, busca al usuario y si puede hasta la ip desde la que se envió. También nos deja exportar toda esta información para que podamos utilizarlas en nuestras herramientas OSINT. 



Como no, también nos permite buscar si una dirección de correo electrónico esta siendo usada para distribuir spam.

Os dejo aquí el enlace:


Sed Buenos ;) 

miércoles, 22 de abril de 2015

¿Suicide Hackers? A Estos No Los Conocía.

Ayer intentando vaciar un poco la carpeta de paper y material sobre seguridad informática me encontré con unas slides de EC-Council donde explicaba la introducción al Hacking y al CEH. La verdad es que me pareció unas slides geniales hasta que di con esta. 


Si os fijáis después de los tres tipos de hacker con diferentes sombreros hay un cuarto. Yo había oído que a los hackers de Windows se les llama bluehats y que hasta tenían unas jornadas para ellos pero aquí aparecen los Suicide Hackers. 

La slide los define así: 
  • Suicide Hacker:
    • Individuos que intentan hacer caer una infraestructura por una causa y no les preocupa que puedan pasarse 50 años en la carcel por sus acciones. 
La verdad es que me ha parecido un poco rara la explicación al principio pero si que es verdad que aunque muchas veces se toman las precauciones oportunas, hay un gran numero de atacantes que podrían entrar en esta categoría ya que no buscan beneficio sino luchar por una causa. 

Aunque en mi opinion prefiero llamarlos Hacktivistas que Hackers suicidas. No se, como que queda mas bonito. 

¿Vosotros estáis de acuerdo con esta "categoria"?

Sed Buenos ;) 

martes, 21 de abril de 2015

Vídeo.- Como Utilizar Un JPEG Para Infectar a Una Compañía.

Desde que estoy trabajando en el mundo de la seguridad informática cada vez coge mas fuerza la fase esa de que "No se puede securizar lo que hay entre el ordenador y la silla" ya que en mas de una ocasión la amenaza se ve desde lejos y aun así la gente da clic donde no debe. 

Pero bueno, a veces la amenaza no es tan clara y puede venir disfrazada de muchas formas y colores. Por eso el Security researcher Marcus Murray publicó la manera de infectar servidores Windows modernos con solo un JPEG y un RAT (Remote Acces Trojan)  generado con el famoso Metasploit.

Os dejo la PoC (Proff of Concept) para que veáis lo fácil que es: 


Por si tenéis mas curiosidad aquí os dejo el enlace la fuente:

Sed Buenos con esto 0;) 

lunes, 20 de abril de 2015

Tener Led Al Lado De La Cam No Es Sinonimo De Seguridad.

Hablando de seguridad y siempre que sacamos el tema de que si no tapas la cam pueden espiarte fácilmente, sale el típico listo a comentar que el tiene un led que brilla mucho en su portátil que le avisa cuando está encendida. Esto es en parte verdad, porque para eso esta ese led allí pero el truco esta en que no todas las marcas de portátiles alimentan la cam y el led por la misma fuente. Haciendo así que pueda bypassearse esta protección.



Matthew Brocker y Stephen Checkoway de la universidad Johns Hopkins University publicaron un paper muy curioso donde se dedicaros a desmontar un MacBook y en el proceso se encontraron que la cámara y el led de estos portátiles van alimentadas por conductores distintos. 

Os dejo el extracto del paper: 
"Abstract—The ubiquitous webcam indicator LED is an important privacy feature which provides a visual cue that the camera is turned on. We describe how to disable the LED on a class of Apple internal iSight webcams used in some versions of MacBook laptops and iMac desktops. This enables video to be captured without any visual indication to the user and can be accomplished entirely in user space by an unprivileged (nonroot) application. The same technique that allows us to disable the LED, namely reprogramming the firmware that runs on the iSight, enables a virtual machine escape whereby malware running inside a virtual machine reprograms the camera to act as a USB Human Interface Device (HID) keyboard which executes code in the host operating system. We build two proofs-of-concept: (1) an OS X application, iSeeYou, which demonstrates capturing video with the LED disabled; and (2) a virtual machine escape that launches Terminal.app and runs shell commands. To defend against these and related threats, we build an OS X kernel extension, iSightDefender, which prohibits the modification of the iSight’s firmware from user space."
Así que, antes de que me entre la paranoia y empiece a desmontar todos los portatiles de mi casa a ver como están alimentados, prefiero tapar mi cámara por lo que pueda pasar.

Os dejo también el enlace al paper por si tenéis mucha mas curiosidad:

Sed Buenos ;) 

domingo, 19 de abril de 2015

Nmap desde 0 CSI.- Primeros Pasos

Seguimos con el proyecto de capsular de seguridad informática y hoy, por fin, se ha subido la segunda capsula de Nmap desde 0 así que, hoy toca aprender conceptos básicos y a como instalarlo en diferentes sistemas. Os recomiendo mucho su visionado. 


Os dejo aquí el vídeo: 


Espero que os guste tanto como a mi. 

Sed Buenos y aprended mas. 

sábado, 18 de abril de 2015

¿Seria Necesario Un Antivirus Para Tu Casa?

La tecnología cada vez esta entrado mas en las casas, antes solo había un ordenador en la casa, el cual utilizaba toda la familia y los mas jóvenes teníamos consensuar tranquilamente y por la fuerza turnos para utilizarlo. Ahora, casi cada miembro de la familia dispone de un smartphone y el piso cuenta con un par de ordenadores (portátiles o torres, he visto de todo), una SmartTV, etc.


Claro, como sabréis, todos estos dispositivos son ordenadores con mayor o menor potencia y como cuales tienen vulnerabilidades amenazas y en resumen, pueden poner en riesgo la privacidad de nuestros hogares. Así que, al menos de gestionar un antivirus para cada uno de estos dispositivos Bitdefender Box no da la oportunidad de proteger nuestros hogares de una manera menos pesada. 


Mas información: 
¿Vosotros que opináis creeis que es necesario?

Sed Buenos ;) 

viernes, 17 de abril de 2015

Python a lo Macarra.- Creando Directorios Específicos Para Proyectos.

La idea se me ocurrió ayer cuando vi el desorden que tenían las carpetas de mi ordenador y pensé que eso en el trabajo no me podía pasar ya que perdería un montón de tiempo buscando un archivo en cuestión. Así que busque un poco de información y me anime a programar un script simple que creara directorios ordenados para cada tipo de proyecto o lo que a mi fuera mejora. 

Por ejemplo, si quisiera llevar un proyecto la estructura/tree seria mas o menos así: 

XXXX es el nombre del proyecto que tu le pongas xD

Así que podemos echar mano de import os y os.mkdir() para pasarle los directorios puestos previamente en una lista con un bucle for. Fácil, pero por si acaso y como siempre, os dejo el código para que podáis verlo. 

import os

def proyecto(nombre)
path = [nombre,nombre+"/Contacto",nombre+"/Desarrollo",nombre+"/Maestra",nombre+"/Maestra/Codigo",nombre+"/Maestra/Comunicaciones",nombre+"/Maestra/Documentos", nombre+"/Maestra/Hardware", nombre+"/Maestra/Pruebas",nombre+"/Ofertas",]

    for directory in path:
        print (directory)
        os.mkdir(directory)


if __name__ == "__main__":
    
    d1 = input ("Nombre del proyecto: ")
    proyecto(d1)

La gracia de os.mkdir(path[, MODE]) es que podemos añadir el MODE, el modo o los permisos que queremos para cada tipo de directorio. Ademas funciona con el modo octal donde el primer dígito establece el tipo de permiso deseado al dueño; el segundo al grupo; y el tercero al resto de los usuarios.

Estos son los tipos de permisos: 


Por lo que encima de tener carpetas de proyectos las podríamos tener personalizadas por los permisos que marque nuestra política de seguridad con solo un script  de 10 lineas o menos. 

Espero que os haya gustado y que os sea util. 


Sed Buenos ;) 

jueves, 16 de abril de 2015

Video,- eCrime Evolution UPM TASSI 2015

De vídeos va esta semana, es que si salen vídeos chulos de ponencias y ademas son de calidad, uno no es de piedra. Además hoy no puedo recomendaros que os miréis el vídeo ya que no me ha dado tiempo de y este post es una especie de mensaje al futuro para el Albert (StateX) del futuro. (¡Acuérdate de verlo malandrín!) 


Ya he visto a [Marc Rivero López] en alguna que otra ponencia hablando sobre el eCrime y la verdad es que lo encuentro interesantisimo. De esta manera os dejo con el vídeo y yo me voy coger una libreta un bolígrafo y una refresco a base de extractos para disfrutarla. 


Espero que nos guste mucho.

Sed Buenos ;) 

miércoles, 15 de abril de 2015

OSINT y Python desde 0 CSI.- Tercera Parte.

Como no podía ser de otra forma, esta semana también he cumplido con mi aportación a la capsulas de Seguridad Informática  de Snifer@Labs. Así que agarraos lo que tengáis que hoy el pingüino os va a dar una clase sobre que es Python y de donde proviene. 

Aquí os dejo el vídeo: 


La verdad es que me lo pase muy bien con esta tercera capsula ya que nunca había tenido curiosidad por saber de donde salió y porque,  Ademas, ya he repasado el Zen de Python para que no me vuelva a desviar del camino correcto.

Espero que os guste, hay deberes y un reto esperando en este video. Nos oímos en la próxima.

Sed Buenos ;) 

martes, 14 de abril de 2015

Virus De Correos.- ¡No Metas Las Patas!

Cada día me encuentro con mas gente con mas gente que me comenta de la existencia de este virus o de que se podía hacer para no "pillarlo", Así que por eso hoy vamos ha hablar de "Virus de Correos" y ya que [OSI] también ha hablado sobre el, me sirve para animaros a leer paginas especializadas como esta. 


Este "virus" no deja de ser uno mas de la familia de los ransoware, familia de la cual hemos hablado aquí hasta la saciedad y que se dedican a cifrarte el disco duro (o los archivos que a el le apetezca) una vez los has ejecutado. Solo que este, va disfrazado como si fuera un correo electrónico de Correos España, 

¿Qué puedes hacer para que tus datos no queden cifrados?
  • No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Precaución al seguir enlaces en correos aunque sean de contactos conocidos.
  • Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.

Bueno y si ya lo tienes siempre puedes ponerte en contacto con profesionales, aplicarle fuego purificador a tu equipo y/o puedes reportar el incidente a OSI y ellos te indicaran la manera de proceder. 

Más información sobre el virus y como poneros en contacto con OSI: 

lunes, 13 de abril de 2015

Tu iOS y Cada Vez El De Mas Bichos

Hace unos días Apple publicó un boletín de seguridad donde corregía la friolera de 58 vulnerabilidades nuevas dispuestas cada una a tocarte el Iphone de la mejor manera que sepan. Así que aquí os dejo el extracto de Un Al Día un poco mas ordenado para que podáis localizar fácilmente si vuestro smartphone es vulnerable o no. 



Aquí tenéis la actualización de iOS 8.3:

  • Ejecución de código a través de 'WebKit' (del CVE-2015-1068 hasta CVE-2015-1083 y del CVE-2015-1119 hasta CVE-2015-1124), 'CFURL' (CVE-2015-1088), 'FontParser' (CVE-2015-1093), 'IOHIDFamily' (CVE-2015-1095), e 'iWork Viewer' (CVE-2015-1098). Además los fallos relacionados con los drivers de audio (CVE-2015-1086) y el Kernel (CVE-2015-1101), permitirían la ejecución de código arbitrario con permisos de 'system'. 
  • Salto de restricciones o medidas de seguridad a través del sistema de copias de seguridad (CVE-2015-1087), 'CFNetwork' (CVE-2015-1089 y CVE-2015-1091), Kernel (CVE-2015-1103 y CVE-2015-1104), 'Keyboards' (CVE-2015-1106), 'Lock Screen' (CVE-2015-1107 y CVE-2015-1108), 'Safari' (CVE-2015-1111 y CVE-2015-1112), 'Telephony' (CVE-2015-1115) y 'WebKit' (CVE-2015-1125 y CVE-2015-1126). Como nota destacar los errores relacionados con la pantalla de bloqueo ya que uno de ellos evitaría que el dispositivo eliminase su contenido al superarse los intentos de desbloqueo (de encontrarse activa dicha opción) mientras que el otro aumentaría de forma indefinida la restricción del número máximo de intentos de desbloqueo permitidos. 
  • Elevación de privilegios a través del Kernel (CVE-2015-1117). 
  • Diez errores de seguridad permitirían revelar información sensible a través de 'AppleKeyStore' (CVE-2015-1085), 'Foundation' (CVE-2015-1092), 'IOAcceleratorFamily' (CVE-2015-1094), 'IOHIDFamily' (CVE-2015-1096), 'IOMobileFramebuffer' (CVE-2015-1097), 'NetworkExtension' (CVE-2015-1109), 'Podcasts' (CVE-2015-1110), 'Sandbox Profiles' (CVE-2015-1113 y CVE-2015-1114) y 'UIKit View' (CVE-2015-1116). 
  • Varias denegaciones de servicio relacionadas con el Kernel (CVE-2015-1099, CVE-2015-1100, CVE-2015-1102 y CVE-2015-1105) y con la configuración de los perfiles por parte de 'libnetcore' (CVE-2015-1118). 
  • Una suplantación de URLs (CVE-2015-1084) en 'WebKit' permitiría hacer creer a la víctima que se encuentra en otra dirección al visitar un sitio web. 
  • Una vulnerabilidad en 'CFNetwork' podría afectar a la integridad del dispositivo y eliminar completamente el historial de navegación (CVE-2015-1090).

Productos afectados:
  • Apple iPhone 4s y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación 

Solución:
  • La actualización ya está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software). 

Más información y fuentes:


Sed Buenos ;)

domingo, 12 de abril de 2015

Infografia.- Los Ocho Niveles De Seguridad En Un Data Center.

Hoy es domingo y toca una entrada tranquila. Echando un mano mi biblioteca de infografias y quien dice "biblioteca" dice carpeta, hoy me gustaría compartir con vosotros los ocho niveles de seguridad que ha de tener un Data Center. La verdad es que lo resume muy bien y nunca esta de mas tenerla a mano se has de trabajar en ello. 

Aquí la tenéis:



Sed Buenos ;) 

sábado, 11 de abril de 2015

Video.- HangoutON Especial Hack&Beers

Hace unos días hablamos sobre el directo de los amigos de HangoutON del congreso Qurtuba se me paso por alto el Especial que hicieron sobre Hack&Beers y gracias a que los directos se guardan automáticamente en la cuenta de youtube del que ha emitido el directo podemos volver a verlo cuando queramos. 


Así que os dejo el vídeo del Especial Hack&Beers:

Sed Buenos ;) 

viernes, 10 de abril de 2015

¡Un Dork Para Gobernarlos a Todos! (a todos los FTP)



Esta tarde buscando una entrada para hoy me he dado de morros con un tweet de Igor Lukic donde aparecía un dork para realizar Google Hacking de "discos duros privados" bastante divertido.


Lo cual me ha dado por jugar un poco e investigar a ver lo que podía hacer con el y de donde provenía. Esta claro que Google no indexa url con protocolos ftp a la ligera por lo que nos abre un par de causas para que este dork sea efectivo: El disco duro de estas personas que está configurado para funcionar como una nube personal sin ningún tipo de seguridad, o bien el router de su casa tiene activado el acceso FTP sin contraseña y sin que el firewall del sistema consiga evitar a los intrusos.

Para que el dork funcione solo tenéis que cambiar las XXXXX por el nombre del dominio o host que quiera buscar.

Así que ya no solo nos tenemos que temer por configurar mal los grupos de Google Groups, de los robots.txt indexados, etc sino que ahora si que tenemos que hacer acto de conciencia y aplicar la seguridad informática lo mejor que sepamos para que los motores de búsqueda no indexen el contenido de nuestros "discos". 

Fuente y mas información:

Sed Buenos con esto 0;) 


jueves, 9 de abril de 2015

Mañana.- ¡Qurtuba Security en Streaming!

Mañana viernes 10 de abril de 9:00 a 19:30 podremos disfrutar en streaming del congreso de seguridad informática [Qurtuba] gracias a los amigo de [HangoutON]. La verdad es que han conseguido reunir a grandes de la seguridad informática para las ponencias que se van a llevar acabo en este congreso. Así que, tengo muchísimas ganas de que llegue mañana, ponerme los cascos y trabajar escuchando cada una de las ponencias del congreso. 



Aquí tenéis el horario de las ponencias: 
  • 9:00 – 9:30 Presentación del Congreso Qurtuba.
  • 9:30 – 10:20 Memorias de un perito informático forense Vol. II. Ponente: Lorenzo Martínez (@lawwait).
  • 10:20 – 11:10 Delitos cometidos a través de redes sociales, investigación y medios de prueba. Ponente: Silvia Barrera (@sbarrera0). 
  • 11:10 – 11:40 Pausa café.
  • 11:40 – 12:30 Give me a PowerShell and I will move your world. Ponente: Pablo González (@pablogonzalezpe). 
  • 12:30 – 13:20 русский киберпреступности Cibercrimen en Rusia. Ponente: Óscar de la Cruz. 
  • 13:20 – 15:40 Pausa comida.
  • 15:40 – 15:30 Hacking IoT Internet de las cosas. Ponente: Alberto Ruiz Rodas.
  • 16:30 – 17:20 Mírame a los ojos o quédate con mi cara. Ponente: Ruth Sala (@Ruth_legal). 
  • 17:20 – 17:50 Pausa café.
  • 17:50 – 18:40 El usuario, el eslabón más débil. Ponente: Ángel Pablo Avilés ‘Angelucho‘ (@_Angelucho).
  • 18:40 – 19:30 Big data, el valor de nuestros datos en la red. Ponente: Miriam García (@MiriamG_).
Aunque si no sabéis donde encontrar el canal de los amigos de HangoutON también podreis ver el congreso aquí: 


Fuente de la entrada y mas información: 
Sed Buenos que mañana nos espera un gran día ;) 

miércoles, 8 de abril de 2015

Python A Lo Macarra.- ¡Magic Numbers or File!

Hace unos días que estoy enganchado a leer write-ups de CTFs y una regla habitual de muchos participantes cuando reciben un archivo es pasarle el comando file para saber de que tipo de archivo se trataba o para verificar que no les estaban tomando el pelo con la extensión. Ademas de ser una idea genial para la realización de un peritaje, por aquellas cosas de que al copiar el disco algún archivo misteriosamente no lleva la extensión correspondiente. 

Así que, file me pareció un comando genial pero, como no podía ser de otra manera, todos los comandos chulos no están disponibles para Windows. Lo cual me ha hecho tener ganas de programarlo en Python ya que es una cosa que no existía y que siempre que encontraba una librería esta tiraba de algún port de file para Windows. De esta manera es como me he decidido aprender, un poco por encima, que son los Magic Numbers y como podía buscarlos. 


Para los que estabais igual que yo, los Números Mágicos son un conjunto de caracteres alfanuméricos que identifican un archivo que, en un principio, se registran en  2-bytes al principio del archivo. Ademas de haber gente genial que los ha ido recopilando en tablas separando el valores hexadecimal del ASCII y catalogados por productos y extensiones. 

Ejemplos de tablas: 
Sabiendo que tenemos los valores en hexadecimal de un montón de extensiones y que python puede leer e imprimir el código binario de cualquier archivo en 4 lineas de codigo solo necesitaba la maner a de convertirlo a hexadecimal y compararlo con el Magic Number que yo quisiera. 

Buscando buscando, recordé que hace tiempo estaba jugando con binascii, una librería que contiene una serie de métodos para convertir representaciones binarias en varias codificaciones ASCII y que gracias a ella ahora tenia el metodo para poder realizar mi script. 
  • binascii.hexlify(data):
    • Return the hexadecimal representation of the binary data. Every byte of data is converted into the corresponding 2-digit hex representation. The returned bytes object is therefore twice as long as the length of data.
Aquí os dejo el Script/PoC super-esbozado ya que solo busca por el numero mágico de un pdf: 

import binascii
import re 
archivo = 'aaaa.pdf'
with open(archivo, 'rb') as m:
    contenido = m.read()

d= str(binascii.hexlify(contenido))
print (d)
o1 = re.search("25504446",d)
if o1:
    print ("Es un pdf como una casa Adobe Portable Document Format and Forms Document file")
else:
    print (" Pues, será otra cosa")

Lo he probado con y sin extensión y pasandole un archivo que no sea un pdf. Funciona y nunca me he alegrado tanto de ver código hexadecimal imprimiéndose en mi pantalla. 


Ahora solo hace falta introducir mas Magic Numbers y hacer que el mismo programa analice y encuentre los archivos sin extensión de cualquier directorio. Ya os he dicho que para temas Forenses esta idea tenia futuro. 

Espero que os haya gustado. 

Sed Buenos ;) 

martes, 7 de abril de 2015

Configuraciones SSL Robustas Gracias a CIPHERLI.ST


Hoy, como no podria ser de otra manera, me disponía a leer el blog de Security by Default como cada día cuando al devolverme el navegador la pagina web, me he encontrado de cara con su articulo 

Así que, en plena vorágine de vulnerabilidades en Open SSL y de problemas para actualizar a TSL una pagina que se dedica a la recolección de configuraciones robustas para diferentes servicios con el único fin de securizarlos, merece que sea compartida.



Si tenéis mas curiosidad sobre esta pagina web os dejo el enlace aquí: 

lunes, 6 de abril de 2015

OSINT y Python desde 0 CSI.- Segunda Parte.

Ayer ya os deje caer que había grabado la siguiente capsula de OSINT & Python desde 0 y hoy Snifer la ha subido al canal de Youtube. Así que hoy os dejo con la capsula donde empezamos a entender que es OSINT y sacamos algunas curiosidades. 

Aquí os dejo el vídeo: 



Espero que os guste y nos oímos en los siguientes.

Sed Buenos ;) 

domingo, 5 de abril de 2015

Slide.- Windows Memory Forensic Analysis usado EnCase

Hoy va ha tocar una entrada corta, ya sabéis que hay días que se puede dar mas y otros que se puede dar menos, ademas hoy he trabajado para que podáis tener la siguiente Capsula de Seguridad Informática sobre OSINT lo mas pronto que se pueda.


Pero, esto  no quiere decir que no me haya puesto al día con mis blogs preferidos o que no haya repasado las redes sociales en busca de nuevas noticias. Hoy me he topado de cara con las slides de [Takahiro Haruyama] sobretodo me ha llamado la atención una sobre el análisis forense de la memoria de Windows usando EnCase (Una suite digitales investigaciones por Guidance Software) La verdad es que es completa y aun me la he de mirara bastante mas a fondo para acabarla de entender del todo (Sobretodo el apartado Anti-forense xD) pero creo que es lo bastante completa como para compartirlo. 


Sed Buenos ;) 

sábado, 4 de abril de 2015

EvilAP_Defender.- ¡Me Vas A Robar La Clave A Mi!

EvilAP_Defender es una aplicación que ayuda al administrador de la red inalámbrica a descubrir y prevenir puntos de acceso (AP) maliciosos.  


La aplicación se puede ejecutar en intervalos regulares para proteger su red inalámbrica de ataques como Evil Twin. Mediante la configuración de esta herramienta podemos obtener notificaciones a nuestro correo electrónico cada vez que se descubre un punto de acceso malicioso. Además, podemos configurar la herramienta para realizar un ataque DoS al AP malicioso para dar le al administrador más tiempo para reaccionar.


La herramienta es capaz de descubrir los  Evil AP  usando las siguientes características:
  • Evil AP  con una dirección BSSID diferente
  • Evil AP  con el mismo BSSID como la AP legítimo pero con atributos diferentes (incluyendo: canal, cifrado, protocolo de privacidad y autenticación)
  •  Evil AP con el mismo BSSID y atributos como la AP legítimo pero parámetro etiquetado diferente 

Requisitos:
  • Suite Aircrack-ng
  • Una  tarjeta inalámbrica apropiada para Aircrack-ng. 
  • MySQL
  • Python

Más información y descarga de la herramienta: 
Sed Buenos ;) 

viernes, 3 de abril de 2015

Patas, Webs y Google Hacking.- "Full Disclosure"

Hace ya unos días jugando con el buscador de Google para ver si encontraba algo nuevo me di de boca con panel para el reset de contraseñas de una empresa. Vi que no existía ningún otro método de seguridad así que con solo buscar las direcciones de correo de la gente cualquier pingüino con patas podría bloquear la cuenta de sus trabajadores. Así que me dispuse a redactar un mail no sin antes haber recopilado mas información. 


Ahora, ya han puesto hasta tres fases de seguridad para que esto no pueda pasar. De esta manera y visto que ya no son tan vulnerables os copio el correo que envié como "Full Disclosure" (si se puede llamar así xD)

"Realizando la búsqueda avanzada inurl:"passwords" la aparece: 
Aunque afinando un poco mas la búsqueda con site:"ogilvy.com" inurl:"passwords" aparecen una mas y dos verificación del captcha:

Esta seria una buena practica si la web fuera una red social y tuvierais miles de usuarios registrándose y olvidando sus contraseñas todos los días. Pero creo que este no es vuestro caso. Así que sí esta pagina está indexada por Google se vuelve publica y de hacerse con una dirección de correo electrónico, permitiría a un atacante suplantar al propietario de dicha cuenta y/o al menos bloquearlo ocasionando problemas a la entidad.

Esto se solucionaría con el uso de un robots.txt o de la etiquetas HTML META.

También, sabiendo que vuestras cuentas de correo tienen el nombre de @ogilvy.com se pueden localizar hasta 617 resultados con la siguiente búsqueda avanzada: 


Los resultados pueden contener la siguiente información y no los pongo por que si no este mail seria larguisimo:

  • Firmas completas de correo electrónico (Nombre, cargo, teléfono, fax y ubicación)
  • Direcciones de correo electrónicos
  • Nombre de Empleados.
  • Todo el contenido de los correos que se cruzaron en dichos grupos. (Algunos de confideciales)

Recuerdo que toda esta información está indexada por google, es publica para todo el mundo y es debido a que no se emplearon buenas practicas a la hora de crear el robots.txt o los grupos de google gruops.  
Deberían tratar de solucionarlo/prevenirlo (ya que es muy difícil que Google borre este tipo de información de sus servidores) y/o contactar con una empresa especializada en seguridad de la información"

Cualquier comentario es bienvenido.

Sed Buenos ;)

jueves, 2 de abril de 2015

La Reforma Del Código Penal.- ¡Hasta los Mismísimos Bits!

El 31/03/2015 (lo pongo así porque como voy un poco adelantado, queda bien) se publicó el BOE (Boletin Oficial Del Estado) donde venías los cambios para la famosa reforma y como no podía ser de otra manera, los cambios no han ido para bien. 


Estos son los puntos del BOE relacionados con la Seguridad Informática, estos puntos han sido "filtrados" o seleccionados por Román Ramírez Giménez en la la lista de la RootedCON:

  • "Artículo 573. 1. Se considerarán delito de terrorismo la comisión de cualquier delito grave contra la vida o la integridad física, la libertad, la integridad moral, la libertad e indemnidad sexuales, el patrimonio, los recursos naturales o el medio ambiente, la salud pública, de riesgo catastrófico, incendio, contra la Corona, de atentado y tenencia, tráfico y depósito de armas, municiones o explosivos, previstos en el presente Código, y el apoderamiento de aeronaves, buques u otros medios de transporte colectivo o de mercancías, cuando se llevaran a cabo con cualquiera de las siguientes finalidades: 1.ª Subvertir el orden constitucional, o suprimir o desestabilizar gravemente el funcionamiento de las instituciones políticas o de las estructuras económicas o sociales del Estado, u obligar a los poderes públicos a realizar un acto o a abstenerse de hacerlo. 2.ª Alterar gravemente la paz pública. 3.ª Desestabilizar gravemente el funcionamiento de una organización internacional. 4.ª Provocar un estado de terror en la población o en una parte de ella. 2. Se considerarán igualmente delitos de terrorismo los delitos informáticos tipificados en los artículos 197 bis y 197 ter y 264 a 264 quater cuando los hechos se cometan con alguna de las finalidades a las que se refiere el apartado anterior"
  • "Ciento seis. Se modifica el artículo 197, que queda redactado como sigue: «1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses. 2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero."
  • 3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores
  • "Ciento siete. Se añade un nuevo artículo 197 bis, con la siguiente redacción: «1. El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años. 2. El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses.»
  • "Ciento ocho. Se añade un nuevo artículo 197 ter, con la siguiente redacción: «Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis: a) un programa informático, concebido o adaptado principalmente para cometer dichos delitos; o b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.»"
  • "Ciento nueve. Se añade un nuevo artículo 197 quater, con la siguiente redacción: «Si los hechos descritos en este Capítulo se hubieran cometido en el seno de una organización o grupo criminal, se aplicarán respectivamente las penas superiores en grado.»"
Estos cambios en la lei solo promoverán que la gente, apasionada por este mundo, se lo piense dos veces a la hora de mandar paper a un congreso y exponer sus hallazgos públicamente se vuelvan a reunir en sitios mas "undergrounds" como en la época de los 80/90. También se lo pensaran dos veces si vendérselo a los malos o publicarlo anónimamente a los buenos.

Vamos que no solo retrocederemos 20 años atrás sino que se va a desaprovechar talento por culpa del miedo debido a una reforma que no ha tenido en cuenta a su comunidad ni a su ciudadanía. 

Si queréis mas información aquí os dejo un enlace al BOE: 
Hoy estoy enfadado, pero Sed Buenos siempre ;) 

miércoles, 1 de abril de 2015

OSINT y Python desde 0 CSI.- ¡StateX The Teacher!

Ya he expresado bastantes veces que tenia ganas de unirme al proyecto del blog Snifer@l4bs sobre la creación de Cápsulas de Seguridad Informática. Así que me puse manos a la obra y el domingo pasado gravé la primera capsula. 

No es mas que la presentación de lo que se va a ir viendo en los futuros vídeos, pero así ya sabréis lo que podemos aprender sobre OSINT y Python. El asunto de tocar OSINT y su implementación con Python viene de mi pasión por hacer web scraping de cualquier web que me puede ser útil. Así que he decidido juntarlo a algo tan de moda con son las técnica OSINT (de moda ya que no hay empresa nueva en el sector de la seguridad informática que no tenga una herramienta dedicada a ella).

Os dejo la primera cápsula aquí abajo: 


Espero que os guste. 

Sed Buenos y nos oímos en las próximas ;)