lunes, 30 de noviembre de 2015

Respuestas Ante Una Infección

Eset ha publicado una guía sobre como una empresa debe responder frente a la infección de un malware y que recomiendo que a todo aquel que trabaje frente a un PC que lo lea detenidamente. La verdad es que poco mas puedo decir sobre el trabajo de Eset, son unos cracks. 


Esto es lo que podemos encontrar en esta guía:
  1. Identificación de la infección
  2. Determinación de su alcance
  3. Mantención de la continuidad del negocio
  4. Contención de las acciones maliciosas
  5. Eliminación de la infección y el vector de ataque
  6. Recuperación de la normalidad de las operaciones
  7. Registro de las lecciones aprendidas
Si quereis leer un resumen mas trabajado sobre este informe os recomiendo que entréis en la fuente de esta noticia:
Y si no, aquí teneis el enlace al informe:
Sed Buenos ;) 

domingo, 29 de noviembre de 2015

Documentación Técnica Sobre Nintendo Entertainment System

Hace unos días me hice eco de [un curso sobre programación de juegos para NES] (Nintendo Entertainment System) pero a la que me puse a querer cambiar los gráficos de un juego por los que había creado yo me he encontrado con que me faltaban cosas por saber, ¿Como en realidad funcionaba esta consola? ¿Y la versión Japonesa? ¿Y sus cartuchos?


Rebuscando un poco en toda la información del curso encontré las siguientes slides donde hace un poco de resumen de la historia de esta consola y describe con detalles como funcionan las dos versiones de la consola. Muy recomendable para todos los que queráis aprender en profundidad como trabajaba esta máquina. 

Os dejo el enlace aquí abajo:
Si, este blog va sobre seguridad informática, pero creo que para hacer pruebas con ROMs de NES primero es necesario saber como trabaja este sistema. Así que, esto también es parte fundamental del proceso de aprendizaje. Además, se que a muchos os gusta ;)

Sed Buenos ;)

viernes, 27 de noviembre de 2015

Video.- Un Poco de Historia Sobre Hacking

Siempre he tenido curiosidad por la historia de lo hackers que habían antes de la etapa del Maligno y la verdad es que me sorprendí al ver la cantidad de grupos y de lo fuertes que eran en esa época donde los congresos de seguridad informática se hacían en la habitación de un hotel o en la casa  de uno de los organizadores.


Nunca esta mal echar un poco la historia atrás y aprender de las vivencias que otros como tu amaban la seguridad informática. Además, como no, si hablamos de Historia de los Hackers españoles tenemos que halar de Mercé Molist y su Hackstory. Así que, como hoy me he estado viendo su ponencia en el Hackmeeting Ca la Vila, os la recomiendo encarecidamente. 



Sed Buenos ;)

jueves, 26 de noviembre de 2015

Video.- Como Crear Nuestra Propia ROM de Windows Phone

En los últimos meses muchas personas cercanas a mi se han pasado a Windows Phone o han preferido cambiar su Android por un modelo mas grande que tuviera el sistema operativo de Microsoft.  La verdad es que a mi me encanta trastear con estos dispositivos y creo que una de las primera cosas que me gustaria hacer es crear una ROM que a mi parecer fuera segura para esta gente. 


Ahora podré hacerlo gracias a la nueva herramienta de Windows Phone Internal. Os dejo un vídeo para que veais como funciona.



También os dejo el link a la pagina oficial de esta herramienta para que podais buscar mas información y jugar con ell:
Sed Buenos ;) 

miércoles, 25 de noviembre de 2015

La Figura del DevSecOp

Hoy escuchando un [podcasts de seguridad informática que me gusta mucho y es una pena que no lo saquen] mas regularmente (Guiño guiño), me he dado cuenta de la tremenda necesidad que hay de incluir la figura de DecSecOp en una empresa y La verdad es que no llevo ni un año trabajando en el mundo de la seguridad informática y ya empiezo a notar el odio que nos tienen cuando reportamos vulnerabilidades sobre un software que ha costado meses de poner en producción. 


No les falta razón ya que han estado sudando para poder conseguir todos los permisos para que esa aplicación se ponga a producción y cuando lo consiguen va el de vulnerabilidades y en su planificación anual reporta múltiples vulnerabilidades que alguien tendrá que reparar. Pero, ¿Esto se podría mejorar?

Pues si,  pero haría falta la aparición de una nueva figura llamada DevSecOp, el cual estaría mimando y securizando la aplicación en todo el proceso para que al ponerla en producción reduzca el numero de vulnerabilidades. Me explico un poco mas, esta figura seria el responsable de testar la aplicación y reportar las vulnerabilidades que encuentre al desarrollador en la fase de desarrollo para poder escalar a pre-producción y volver a repetir la acción para conseguir que la aplicación al llegar a producción sea lo mas segura posible

Más información:
La verdad es que facilitaría mucho el trabajo y en que no nos maldigan cuando les tengamos que decir que su aplicación se ha de rehacer por que se ha de actualizar tal base de datos ha de ser actualizada y no es compatible con ese software. Además de incorporar una pieza útil a la empresa y un lugar mas de trabajo que eso no le va mal a nadie. 

Sed Buenos ;)

martes, 24 de noviembre de 2015

RSA Certificaciones y Training

Hace mucho que me comentaron que desde la pagina de RSA también se podía acceder a diversos cursos online pero nunca me había puesto a ello hasta esta tarde. La verdad es que si bien podemos obtener unos cuantos cursos gratis muchos de ellos son de  introducción y los mas específicos serán de pago.


Esto es normal y mas siendo RSA una empresa tan importante en el sector como la que es, por eso los cursos mas específicos se pueden ir a los 5.000$ pero como os he dicho RSA nos da algunos cursos básicos que para los iniciados como yo la verdad es que están muy bien. 

Para todos los que querais curiosear los cursos os dejo el enlace aquí abajo:
Sed Buenos ;) 

lunes, 23 de noviembre de 2015

Pengowin3.- El Arsenal de Herramientas Para Windows

Hace eones hablamos de este arsenal de herramientas de seguridad para Windows y ahora después de unos eones mas, se ha llegado a la versión dos versiones mas por fin nos ponemos en la tercera versión.
 



Lista de herramientas:
  • exiftool-10.04
  • XnView 2.34
  • MobaXterm 8.2 (Installer & Portable)
  • SecureCrt 6.1 Portable (7.3 en la web)
  • UltraVNC 1.2.08
  • Putty 0.65
  • xtreme GPU BruteForce 3.2 & Hash Manager 1.2.3
  • KeePass 1.29
  • GPG4Win 2.2.6
  • LaZagne 1.1
  • Rainbow Crack 1.6.1 + 64 Bits
  • WindowsPasswordKracker 3.1
  • Who´s On My Wifi 3.0.3
  • Aircrack-ng-1.2RC2
  • CommViewWifi 7.1
  • Chanalyzer 5.7
  • Vistumbler 10.6
  • Wireless Mon 4.0 1009
  • Acrylic WiFi Free 3.0.5.770
  • RDG MALWARE DETECTOR BETA 7
  • TDSKILLER (Sep 2015)
  • FOCA PRO Versión final
  • AdwCleaner v5.0.1.5
  • aswMBR 1.0.1.2290
  • AVG FREE 2015
  • CCLEANER 5.11
  • FortiClient Antivirus 5.4
  • HitmanPro 3.7.10.250 + 64 Bits
  • mbam-setup-2.2.0.1024
  • mbar-1.0.9.3.1001
  • Snort 2.9.7.6
  • Spybot 2.4.40
  • Trojan Remover 6.9.3.2941
  • SysInspector versión 1.2.049.0
  • rkill 2.8.2.0
  • RDG Packer Detector v0.7.5 2015
  • Winsyslog 13.1
  • Syslog Watcher 4.7.6
  • Fine Connection Monitor 2015.8
  • Prtg
  • Advance Serial Port Monitor 4.4.5
  • Advanced Serial Data Logger 4.1.11 (RS232)
  • NMAP 6.49 Beta5 + Vulscan + NMAP 7!!!!!
  • Essential NetTools 4.4
  • Technitium MAC Address Changer 6.0.6
  • LanState 7.8
  • SoftPerfect Network Scanner 6.0.8
  • Advanced Ip Scanner 2.4.2601
  • Hyena 11.5.4E
  • GoogleHacksSetup1.6.0 (Prox 2.0)
  • Maltego = MaltegoCESetup.v3.6.0.6640
  • Network Miner 1.6.1
  • Wireshark 1.12.8 & Portable + 64 Bits
  • BurpSuite 1.6.30
  • Zap Proxy 2.4.2
  • HTTrack Website Copier 3.48-21 + 64 Bits
  • SpiderFoot 2.6.0
  • Ostinato 0.7.1
  • Fiddler Net 2 2.6.1.4
  • Packet Sender Version & Portable 2015-05-27
  • Firefox Autocomplete Spy v1.0
  • Password Sniffer Console v2.0
  • USBPCAP Sniffer1.0.0.7
  • Packet Crafter
  • Windump 3.9.5
  • WinPCap 4.1.3
  • Edraw 7.9 (Excelente para armar dibujos de topologías, entre otros)
  • Gimp 2.8.14 (Editor de imagenes)
  • Linux Live Usb Creator 2.9.4
  • CCleaner 5.11
  • FileZilla_3.14.1
  • TEXT Crawler 3.0.3 (Buscador de palabras en archivos y carpetas)
  • Fileseek 4.5
  • Universal USB Installer 1.9.6.2
  • WinSetupFromUSB 1.6 Beta 2
  • rufus-2.5 & Portable
  • Daemon Tools Lite v10.1.0
  • IsoBuster 3.6
  • Notepad ++ 6.8.6
  • Unetbootin 6.13
  • UltraIso 9.6.5.3237
  • Joomla 3.4.5
  • Xampp 5.6.14.0
  • VirtualBox 5.0.8
  • VMware-player 6.0.7
  • WebCruiserPro 3.5.3 Free
  • GFI LanGuard 2015
  • ParameterFuzz 2.0
  • Nessus 6.5.2 XP-2003-7(32Bits) And W2008 (64Bits)
  • Acunnetix Vulnerability Scanner & report Viewer
  • EVIL FOCA 0.1.4.0
  • OSForensics 3.2.1003
  • Recuva 1.52.1086
  • KillDisk Windows Suite v10
  • Formateo SD 9.1
  • Eraser 6.2.0.2970
  • FTK Imager 3.4.0.5 & Imager Lite
  • Process Hacker 2.36 & Portable
  • MailViewer
  • System Ninja 3.1.11
  • Autopsy 3.1.3 32 bits
  • Wipe 2015.11
  • UltraCompare v15.10
  • HardWipe 5.0.9 Portable 64 Bits
  • Volatility 2.4
  • WINHEX 18.5
  • DumpIt
  • Redline 1.14
  • WinMerge 2.14.0
  • Mount Image Pro v6.1.3.1601
  • Sysinternals 2015 (October)
  • Nirsoft Package 1.19.57
  • Proxpn 4.2.2
  • OWASP Mantra 0.92 (web en mantenimiento)
  • OPENVPN 2.3.1001 + 64 Bits
  • Iron Portable 45.0.2400.0
  • Spotflux Proxy
  • TOR 5.0.3
  • ProxyCap 5.28 
Ahora solo os queda aprender para que funciona cada una y la sinergia que puedan tener entre ellas.

Para mas información y por si quereis descargar el arsenal os aconsejo leer la fuente de este entreada:
Sed Buenos ;) 

domingo, 22 de noviembre de 2015

Tor Forensics en Windows

La verdad es que no hacho muchos forenses desde que me saque el titulo, pero la verdad es que siempre va bien reciclarse y seguir aprendiendo y lo bueno que tenemos es que en este mundo se comparte muchisimas información. 


Hoy me gustaría recomendaros unas slides donde se muestra una so real de alguien que publicaba las cuentas de la empresa en un blog desde Tor y como podemos realizar un forense para descubrir quien lo ha hecho.

Enlace:
Aunque, haya pasos bastante sencillos y lógicos, la verdad es que es una buena guía paso por paso para la adquisición de este tipo de evidencias. Es mas yo me hubiera encasquillado en mas de un punto. Es muy recomendable. 

Sed Buenos ;)

viernes, 20 de noviembre de 2015

Security Onion.- Una Distro Para Monitorizarlo Todo

Security Onion no es una distribución Linux como las que estamos acostumbrados a ver sino que se dedica exclusivamente a hacer las funciones de IDS, network security monitoring y a la gestión de logs. Osea se, todo lo que una PiME necesitaría para monitorizar su seguridad puesto en una distribución que solo faltaría configurarla debidamente.


¿Que tipo de información es capaz de mostrarnos?
  • Alertas HIDS desde OSSEC y NIDS desde Snort/Suricata
  • Información de los Asset desde Prads y Bro
  • Todo el contenido de la información desde la herramienta netsniff-ng
  • La información del Host via OSSEC y syslog-ng
  • La información de Sesión desde Argus, Prads, y Bro
  • Información de Transacciones desde los logs http/ftp/dns/ssl/other de Bro
Si quereis descargar la distribución os recomiendo que vayais a la fuente de esta noticia donde encontrareis mas información: 
La verdad es que la configuración y el uso de cada una de las herramientas daría para un libro (guiño guiño patada patada)

Sed Buenos ;) 

jueves, 19 de noviembre de 2015

Star Wars En Una Hora De Código

Ya sabéis que siempre que me es posible le hecho un vistazo a Una hora de código de Code.org una web destinada a que los niños tengan una hora de código para que puedan aprender a programar de una manera fácil y sencilla. Bueno ahora que estamos a una semana del estreno de la nueva película de Star Wars la gente de Code.org a montado un par de horas de código con los personajes de las saga. 


De momento solo están las horas Blocks y JavaScript en ingles pero nada que no puedas solucionar ayudando a tu hijo a que entienda el idioma y que juegue a programar con sus personajes favoritos. 

Para los que estés interesados os dejo el enlace aquí:
Sed Buenos ;) 

miércoles, 18 de noviembre de 2015

Las Tres Guias para Desenmascarar a ISIS

Buenos si ayer hablábamos de que ISIS había lanzando hoy la facción de Anonymous que esta intentando echar al ISIS fuera de Internet han publicado tres guías para rastrear y desenmascarar a personas relacionadas con el ISIS.


Si queréis las guías os recomiendo ir a la fuente de la noticia:
La verdad es que la gente de esta facción son bastante cachondos, no hubieran hecho publicos esos conocimientos si ISIS no les hubiera llamado idiotas, pero es un buen Zas en toda la boca.

Sed Buenos ;)

martes, 17 de noviembre de 2015

Los 5 Hobbytrucos Del ISIS Para Hacer Frente a Anonymous.

Ya os comente que hace un par o tres de días que algunas facciones de  Anonymous se estaban moviendo después del atentado de París y nada mas lejos de la realidad, ya que al siguiente día ya teníamos una declaración de guerra de Anonymous contra el ISIS. 


Vídeo al que le acompañó hace un par de días la filtración de mas 1000 cuentas de Twitter relacionadas con el ISIS de las cuales algunas ya han sido borradas.

Enlace a la filtración:
Bueno, se ve que los de Anonymous han dado en el clavo en las cuentas que han conseguido filtrar ya que en hoy podemos leer lo siguiente en canal de Telegram Khilafah News. (si es que Telegram funciona bien para lo bueno y para lo malo xD)


Como podéis ver aparte de llamar idiotas a la gente de Anonymous dan cinco Hobbytrucos para que no vuelvan a tener esas filtraciones aquí los tenéis.
  1. No abras ningún enlace a menos que estés seguro de la fuente.
  2. Cambia de IP (Internet Protocol) "constantemente"
  3. No hables con la gente que no conoces en Telegram.
  4. No hables con la gente por la mensajería directa de Twitter.
  5. No nombres tu correo electrónico con tu nombre de usuario en Twitter.
Bueno, la verdad es que son consejos curiosos y la provocación del ISIS es clara, así que ya nos podemos preparar por que seguro que no es la última noticia que tenemos de esta guerra que acaba de empezar. 

Sed Buenos ;)

lunes, 16 de noviembre de 2015

Múltiples Vulnerabilidades en SEP

Siempre que leo que hay múltiples vulnerabilidades que afectan a Symantec Endpoint Protection algo en mi interior se estremece. Así que si aún no lo habéis actualizado ya podéis correr, espero que este pequeño resumen os sirva.

  • CVE-2015-6554: Un fallo en la comprobación inapropiada de data no confiable permite a un atacante ejecutar código OS arbitrario de forma remota.
  • CVE-2015-6555: Un fallo en la elevación de privilegios de código Java permite a un atacante ejecutar código arbitrario de corra remota a conectarse por el puerto jaca de la consola. 
  • CVE-2015-1492: Un fallo en la la búsqueda de la búsqueda de parches no confiables permite a un usuario local elevar sus privilegios a través de una DLL especialmente creada. 

Productos afectados:
  • Symantec Endpoint Protection Manager versión 12.1
  • Symantec Endpoint Protection Clients versión 12.1

Más información:


Solución:
  • Symantec ha publicado los parches correspondientes para solucionar estas vulnerabilidades:
    • Symantec Endpoint Protection Manager actualizar a la versión 12.1-RU6-MP3
    • Para Symantec Endpoint Protection Clients actualizar a la versión 12.1-RU6-MP3
Sed Buenos ;) 

domingo, 15 de noviembre de 2015

Un Poco De RootedHumor.

Después de los dos días que acabamos de vivir con los múltiples atentados de París y viendo como renacen ciertos movimiento Anonymous en los hashtags de twitter #OpParis y #OPIsis. Creo que es el momento de sacar el vídeo de la discordia. 


Vi este vídeo por la lista de correo de la RootedCON y la verdad es que me lo tomé con humor. Este tipo de vídeo ya se han convertido en un Meme mas de internet así que desde mi punto de vista no se ha de ver como una provocación dirigida al equipo de la Rooted sino como un Meme mas.

 
Sed Buenos ;) 

viernes, 13 de noviembre de 2015

Discriminación en Internet

Hoy en día los chavales tienen una doble vida a en la red mucho mas extensa de la que tenia yo a su edad donde el messenger  y el CounterStrike ocupaban mis tardes. Ahora puede pasar que ciertos integrante de una clase no solo excluyan a un compañero en las aulas si no en la red social favorita de todos y de esta manera empezar con una discriminación web y es normal emplear este termino ya que a nadie le gusta sentirse excluido de ningún lado. 


Con vos en la web tiene un seguido de imágenes repletas de información  tratando todo los temas que pueden afectar a los chavales de hoy en día y creo que si tenéis un hijo adolescente o que va a entrar en esa fase deberíais echarle un ojo y aprender lo mas posible para que no tenga ningún problema en confiar en vosotros si le pasara algo o al menos a que le ayudéis a configurar su cuenta de usuario de una manera que no le repercuta.

Enlace a la página:
Sed Buenos ;) 

jueves, 12 de noviembre de 2015

Python Arsenal Para la Ingeniería Inversa

Ya sabéis que la ingeniería Inversa no es un tema que toquemos mucho por aquí y lo seguirá siendo hasta que no me dedique a fondo a estudiar y a resolver basantes CrackMes hechos a mala leche. Pero la verdad que hoy buscando sobre el tema y sobre herramientas en Python he dado con la página de Python Arsenal.



Enlace a la pagina:
Una página donde se dedican a recoger todas las herramientas relacionados con python y la ingeniería inversa aunque, como prodreis ver,  también hay algunas destinadas al ambito forense como ek famoso Volatility. También los podéis seguir en Twitter por si no teneis muchas ganas de ir entrando cada dos por tres a la página. 

Lista de herramientas: 
"abf, Amoco, Androguard, Angr, apkjet, AsmJit-Python, Avatar, BeaEnginePython, Binwalk, Bitey, bochs-python-instrumentation, Bowcaster, Buggery, BugId, Capstone, concolica, Ctypes, cuckoo, d00ks, Darm, Deviare, dexterity, diabind, Disass, dislib, diStorm, elfesteem, Elffile, ElfParserLib, Elfparsing, Elfrewriter, Fino, FrASM, Frida, hexrays-python, HookMe, HopperScripts, IDAPython, ImmLIB, JEB, libbap, libdisassemble, LKD, LLA, lldb, llvmlite, llvmpy, Macholib, memorpy, Miasm, MOSDEF, NativDebugging, Netzob, ollydbg2-python, OllyPython, PDBparse, PeachPy, PEEL, pefile, pepy, PIDA, PinPy, ProcessTap, py-eresi, PyADB, pyasm, pyasm2, Pybag, P cont, PyBFD, PyBox, PyCodin, pydasm, Pydb, PyDBG, PyDbgEng, pydbgr, PyDevTools, pydot, pydusa, PyEA, PyELF, Pyelftools, PyEMU, pyew, pygdb, pygdb2, pyHIEW, PyJOE, pykd, Pylibemu, pylibscizzle, pyMem, pymsasid, pyn, pyopenreil, pype32, PyPEELF, pyREtic, PyRevEng, pySMT, psmtlib, pySRDF, PySTP, pysymemu, python-adb, python-elf, python-haystack, python-ptrace, Python_Pin, PythonGdb, pytracer, PyVEX, PyVMI, pywindbg, pyxed, radare2, python, ramooflax, Rekall, roputils, SimuVEX, Triton, uhooker, Unicorn, Viper, Vivisect, Volatility, vtrace, WinAppDbg, x64dbg-python, Z3-python, Z3Py, ZwoELF"

Como podéis ver también está python-adb así que se me ocurre una buena idea juntándolo con Volatility.  Por si alguien quiere crear una herramienta que haga el dump y el análisis de la memoria RAM de un Android yo dejo esta idea aquí (Guiño guiño patada patada)
Sed Buenos ;) 

miércoles, 11 de noviembre de 2015

He Leído NES y No he Podido Evitarlo

Ya os habréis dado cuenta de que me encantan los videojuegos  y no me lo he pesado ni un minuto en hacer referencias a ello o de incluirlas como bromas en algunas presentaciones.


Así que ya podéis intuir mic ara de sorpresa al ver que en el blog de CyberHades hablaban sobre como desarrollar para la anciana de Nintendo, la Nintendo Entertainment System (NES)

La verdad por que he podido ver es bastante completo y no solo habla de como programar para NES sino que también hace un repaso por algunas ROM Hacks y por la historia de Nintendo que la verdad es que es bastante curiosa. 


Podréis encontrar toda la información en le blog de CyberHades y por si alguna vez habéis tenido alguna duda sobre como funcionaba un cartucho de NES o la propia videoconsola os resolverá muchas dudas.

Sed Buenos ;)

martes, 10 de noviembre de 2015

Linux.Encoder.1 y Su Fallo de Cifrado.

Si ayer hablamos que Linux.Encoder.1era el primer Ransomware en Linux, les ha faltado tiempo a la gente de Bitdefender a desmembrar el Malware y encontrar un fallo en la forma en la que el bicho cifra la información. 


Si os fijáis en la foto de le entrada de ayer se ve claramente que anuncia cifrar los archivos con RSA-2048. [Según comenta Bitdefender], el bicho hace un primer cifrado con AES-128 con una clave que se genera en local en el PC de la víctima. Esta clave AES es también cifrada con RSA para asegurar que no pueda ser resuelta.


La idea es muy buena pero cometieron un error.:
"En lugar de generar claves aleatorias seguras y vectores de inicialización, la muestra derivaría dos piezas de información de la función rand () de libc generado con la fecha y hora actual del sistema en el momento de cifrado. Esta información puede ser fácilmente recuperada examinado marca de tiempo del archivo ", dijo Bitdefender. "Este es un gran defecto de diseño que permite la recuperación de la clave AES sin tener que descifrar con la clave pública RSA vendido por el operador (s) del troyano".
Como no Bitdefender tampoco ha perdido la oportunidad de sacar una herramienta para descifrar y lista para que todo el mundo pueda usarla:

Por otro lado también hablamos de que este malware afectaba a servidores Linux cuyo objetivo era alojar paginas web. Lo malo es que las paginas web son fácilmente indexables para los buscadores y al verse afectadas por este malware pueden buscarse por Google con un poco de la mágia del Browser Hacking., 
  • inurl:README_FOR_DECRYPT.txt "Without this key"
POC: 

lunes, 9 de noviembre de 2015

Linux.Encoder.1 El Ransomware Llega a Linux

Bueno ya le tocaba a Linux tener un Ransomware, pero como buenos lectores de este blog ya habréis podido intuir que con la cuota de usuarios que tiene Linux no sale muy rentable la creación de un Ransomware para este sistema operativo. Pero y ¿si pensamos en los servidores?


Pues así trabaja este Ransomware, el Linux.Encoder.1 descubierto por la firma de antivirus Dr.Web, es capaz de cifrar la base de datos MySQL, el Apache, y las carpetas home/root asociado al servido. Para descifrarlo tendrás que pagar 1 Bitcoin (Lo que me parece barato xD)



Para mas información:
 Esta es la lista de extensiones que parsea y cifra a parte de lo comentado anteriormente:
  •  .js, .css, .properties, .xml, .ruby, .php, .html, .gz, and .asp, as well as other file extensions like .rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, and .jpg.
Sed Buenos ;)

domingo, 8 de noviembre de 2015

Que Hacer Si Nos Roban el Portatil

Siempre hablo de la bondades del Grupo de Delitos Telemáticos de la Guardia Civil pero hoy me ha dado por investigar si la policía de Catalunya (Los Mossos d'esquadra) ofrecía los mismo servicios al ciudadano y la verdad es que me ha sorprendido. 


En el tríptico que nos podemos descargar de su pagina web podemos encontrar multitud de información, aunque no la han actualizado desde 2011 así que estaría bien darle una pasada ;).  Bueno, en dicho tríptico hay unas instrucciones muy claras sobre lo que debemos hacer si nos han robado el portátil y la verdad es que si me pasara a mi no sabría como actuar.  Así que, es mejor que  comparta estos puntos con vosotros.
  1. Hace falta comunicarlo al la entidad correspondiente (Empresa, intituto, escuela, ...) y denunciarlo en una comisaria de policia. Para presentar la denuncia, hace falta el DNI, la documentación del portatil y si sois menores , ir acompañados de un tutor legar.
  2. Si hemos podido ver a quien nos ha robado el equipo hace falta explicar con detalle todas las características físicas  de la persona y el lugar y las circunstancias en las que se ha producido el robo.
  3. Si nos roban el ordenador por la fuerza, no debemos enfrentarnos. Fijaros bien en las características de la persona (manera de vestir, aspecto, complexión, altura ...) y en los medios que hace servir (vehículo, marca, modelo, matricula ...).
  4.  Si la policía recupera el portátil tendréis que volver a llevar la documentación para identificarlo.
Aquí teneis el enlace al triptico de donde podreis sacar mucha mas información.
Sed Buenos ;) 

sábado, 7 de noviembre de 2015

Descifrando BitLocker a Lo Forense

Hoy parece ser el día de Volatility, una herramienta desarrollada en Python destinada a trabajar de una manera cómoda con volcados de memoria .raw, no solo ha aparecido [una interfaz gráfica muy atractiva] para trabajar con el si no que ahora podemos extraer las claves de cifrado FVEK para poder descifrar volúmenes cifrados con BitLocker (El programa de cifrado de Windows). 


Para meternos de lleno a esto necesitaremos lo siguiente:
Lo primero que le tendremos que indicar a Volatility es el offset de la tabla de particiones donde empiece la partición NTFS de mas valor. Para eso utilizaremos por ejemplo el comando [mmls]:
$ mmls John_HDD.dd
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors

      Slot        Start              End           Length         Description 
00: Meta  0000000000 0000000000 0000000001 Primary Table (#0)
01:   -----   0000000000 0000002047 0000002048 Unallocated
02: 00:00 0000002048 0000718847 0000716800 NTFS (0x07)
03: 00:01 0000718848 0031455231 0030736384 NTFS (0x07)
04:   -----   0031455232 0031457279 0000002048 Unallocated

Si hiciéramos el dump en hexadecimal de esta partición encontraríamos la firma -FVE-FS-
$ hexdump -C -s $((718848*512)) -n 16 John_HDD.dd
15f00000 eb 58 90 2d 46 56 45 2d 46 53 2d 00 02 08 00 00 |.X.-FVE-FS-.....|
15f00010
Ahora que sabemos donde se encuentra el volumen de Bitlocker vamos podemos jugar un poco con el plugin. Lo que buscamos no es ni mas ni menos que la FVEK (Full Volume Encryption Key) y el plugin nos ayuda a encontrarla, extraerla y a saber que algoritmo AES se ha utilizado para cifrar el volumen  128 bits, 256 bits o si se ha utilizado o no el algoritmo Elephant. 
$ export VOLATILITY_LOCATION=file://./John_Win7SP1x64.raw 
$ export VOLATILITY_PROFILE=Win7SP1x64
$ python vol.py bitlocker --dump-dir ./keys Volatility Foundation Volatility 
Framework 2.5 Cipher: AES-128 + Elephant diffuser (0x8000)
FVEK:2140c8afcbb835127b3b5b97fdcc8b846b7d97fba0c5a2e9dbfef97e263272fa4543af87702c4cee4252eaaa0b7fdc2a96c54aace6e90642a4bbece8afc430c2
FVEK dumped to: ./keys/0xfa80018fe8c0.fvek

Ahora que ya hemos podido extraer la clave y la tenemos "almacenada" en un .fvek podemos utilizar una herramienta como dislocker para descifrar el contenido. 
$ sudo dislocker-fuse -V John_HDD.dd -k ./keys/0xfa80018fe8c0.fvek -o
$((718848*512)) -- /mnt/ntfs 
$ sudo mount -o loop,ro /mnt/ntfs/dislocker-file /mnt/clear 
$ ls -lh /mnt/clear
total 730M
lrwxrwxrwx 2 root root 60 Jul 14 2009 Documents and Settings -> /mnt/clear/Users 
-rwxrwxrwx 1 root root 730M Nov 4 09:39 pagefile.sys
drwxrwxrwx 1 root root 0 Jul 13 2009 PerfLogs
drwxrwxrwx 1 root root 4.0K Nov 4 09:58 ProgramData
drwxrwxrwx 1 root root 4.0K Apr 12 2011 Program Files
drwxrwxrwx 1 root root 4.0K Nov 4 07:01 Program Files (x86)
drwxrwxrwx 1 root root 0 Nov 4 07:04 Recovery
drwxrwxrwx 1 root root 0 Nov 4 09:57 $Recycle.Bin
drwxrwxrwx 1 root root 4.0K Nov 4 07:05 System Volume Information
drwxrwxrwx 1 root root 4.0K Nov 4 09:56 Users
drwxrwxrwx 1 root root 24K Nov 4 09:58 Windows
Espero que os haya gustado, esta claro que nunca tendremos la certeza de si un equipo estará cifrado con Bitlocker pero un dump a tiempo no hace daño.

Sed Bueno ;)

viernes, 6 de noviembre de 2015

El Baile de Capuchas y Mascaras (El Leak)

Hace nos días hablamos de la [operación KKK] de Anonymous y os comentaba que no había encontrado por ningún lado el leak con la información de las 1000 personas.  Pues hoy, después de escuchar por las noticias los disturbios ocasionados al 5 de noviembre, entro en the hacker news para ver las novedades y me encuentro con el enlace a pastebin donde han pegado el leak con toda la información. Ahora ya entiendo, en parte, porque se lío tanto anoche. 


Os dejo el enlace aquí y copiadlo antes de que lo acaben borrando:
Pero si quereis saber mucho mas de esta hisotria os aconsejo leeros las noticias de The Hacker News respecto a este tema:
Que cada uno extraiga la opinión que quiera sobre los actos que se han cometido bajo el nombre de Anonymous, pero estoy seguro que mas de uno le pica la curiosidad sobre los nombre del leak al igual que yo la tenia y al no poder encontrarla hace un par de dias solo ha incrementado mi curiosidad.

Sed Buenos ,)

jueves, 5 de noviembre de 2015

TOR Messenger y Ole

El proyecto TOR ha vuelto ha dar un golpe encima la mesa con la salida de su nueva herramienta TOR Messenger, Aunque Funciona similar pero no es el mítico Messenger que algunos nostálgicos aun seguimos recordando.


TOR Messenger es compatible con XMPP, IRC, Facebook Chat, Google Talk, Twitter y Yahoo! y aquí es donde entra la diferencia con Messenger. Mientras que Messenger tenia un servidor en medio de hotmail para realizar la conexión entre los dos clientes, TOR Messenger utiliza el servidor de Facebook, Google Talk, etc, para realizar la conexión. ¿Esto no os parece un poco raro?

A mi la verdad es que si,  como bien vimos en [el Pack de entradas que hablamos del funcionamiento de TOR] (El cual podéis encontrar en la sección ###Aprende### Guiño guiño) este utiliza barios nodos para establecer una conexión entre el punto A y el punto B. Así que en este caso yo entiendo que la comunicación sera anónima hasta que accedamos a el servidor de facebook que esta vez actuará de ultimo nodo y este enviara el mensaje sin la salvaguarda de TOR a la persona con la que queremos comunicarnos. Al menos yo lo entiendo así, si creéis que me equivoco siempre lo podéis poner en los comentarios o comunicaros conmigo por cualquier método. 

Con esto no deja de ser una buena herramienta, la verdad es que es una solución muy aconsejable para que el usuario medio pueda empezar a incorporar la seguridad en sus comunicaciones en internet de una manera fácil y cómoda. Espero darle muy fuerte a este TOR Messenger y quien sabe a lo mejor cuando me ponga a jugar un poco mas con ella tenga que publicar una Fe de erratas. 

Enlace a TOR Messenger: 

miércoles, 4 de noviembre de 2015

Google Groups y Vulnerabilidades de Android.

Ayer Google lanzo una actualización de seguridad para Andtoid y como es normal la National Vulnerability Database (NVD) ya ha dado cuenta de estas vulnerabilidades piblicandolas en el Feed Recent. Bueno, hoy no hablaremos de las vulnerabilidades en si pero si que me gustaría enseñaros de donde el NVD ha sacado esta información que seguro que a mas le uno le es útil.



Como se puede ver en el Feed se usa el tipo de identificación única Common Platform Enumeration (CPE) por ejemplo en el caso que toca la vulnerabilidad CVE-2015-6610 podemos cer el cpe --> cpe:/o:google:android:5.1.1

<entry id="CVE-2015-6610">
   <vuln:vulnerable-configuration id="http://nvd.nist.gov/">
      <cpe-lang:logical-test operator="OR" negate="false">
          <cpe-lang:fact-ref name="cpe:/o:google:android:5.1.1"/>

Esto quiere decir que podemos aplicar esta vulnerabilidad a todos los android con versión 5.1.1. 

Google tiene una lista de correo donde publica todas las actualizaciones de seguridad para Android aunque ellos dicen que es para su serie de smartphones Nexus pero realmente estan publicando actualizaciones de seguridad para Android. Estas Vulnerabilidades las podemos cotejar con el NVD y veremos que son las mismas. 

Issue
CVE
Severity
Remote Code Execution Vulnerabilities in Mediaserver
CVE-2015-6608
Critical
Remote Code Execution Vulnerability in libutils
CVE-2015-6609
Critical
Information Disclosure Vulnerabilities in Mediaserver
CVE-2015-6611
High
Elevation of Privilege Vulnerability in libstagefright
CVE-2015-6610
High
Elevation of Privilege Vulnerability in libmedia
CVE-2015-6612
High
Elevation of Privilege Vulnerability in Bluetooth
CVE-2015-6613
High
Elevation of Privilege Vulnerability in Telephony
CVE-2015-6614
Moderate
Aquí tenes el enlace al grupo de Google Groups y espero que os sirva mucho: 



martes, 3 de noviembre de 2015

El Baile de Capuchas y Mascaras.

Esta mañana viendo las noticias como cada día junto a mi café con leche me ha sorprendido la noticia que Anonymous había filtrado 1000 identidades de miembros del Ku Klux Klan (KKK). La verdad es que yo antes de irme a la cama no había visto nada así que me ha chocado verlo por las noticias. Tampoco es el primer ataque de este grupo de Hacktivistas pero esto si que me ha parecido comentable. 



Me he puesto a buscar un poco mas de información y pese que no he podido dar con la filtración entera, si que han subido un resumen con los nombres de los VIPs que estaban en esa filtración.

Aquí tenéis el enlace al pastebin con esta información:

La verdad es que es curioso y si alguno de vosotros puede hacer algo con esta información mejor que mejor pero lo que me impresiona es lo que puede hacer el esfuerzo de personas que no tienen porqué conocerse entre si cuando hay un objetivo en común y lo efectivo de su colaboración. 

Sed Buenos ;) 

lunes, 2 de noviembre de 2015

¡Ojo Que el MS15-106 Ha Mutado!

Hoy Microsoft ha hecho un pequeño truco de magia con uno de los boletines que publicó en la pasada actualización. Estoy hablando del MS15-106 que estaba destinado a todas esas vulnerabilidades que afectan a Internet Explorer y que ahora ha incrementado su numero a una mas.

  • La vulnerabilidad CVE-2015-6045: Un fallo en la corrupción de memoria permite al atacante la ejecución remota de código. 
Software afectado: 
  • Internet Explorer sobre sistemas Windows 10
Más información: 
Solución: 
  • Aplicar nuevamente el boletín MS15-106 aunque Windows 10 viene por defecto con Edge.
Fuente: 

Supongo que Microsoft ya se olió esta vulnerabilidad o quería comprobarla antes de publicarla ya que en el anterior boletín se publicaron los siguientes CVE: CVE-2015-6044, CVE-2015-6046. 

Sed Buenos ;)