martes, 31 de mayo de 2016

OpenBSD.- Mitigación de tecnicas de Exploit

Esto es un secreto que llevo dentro desde que empecé a trastear con diferentes distribuciones de linux y Unix.  Hace ya mucho tiempo en el que llevaba una partición de Puppy Linux en mi mp3 por si tenia ganas de trastear con algún pc que se me pusiera a tiro pero de todas las distribuciones (grandes y pequeñas) siempre ha habido una que me ha parecido mágica y esa es OpenBSD.


Aunque desde que salio a la luz el tema de los [backdoors del FBI]  no he confiado mucho en ella. Pero supongo que ha día de hoy no los seguirá teniendo ¿no? ¿Alguien puede confírmamelo?

Pero bueno, si siguen sacando guías como la que os recomiendo sobre la mitigación de técnicas de exploit en este sistema puede que vuelva a recuperar parte de esa mágica que perdió para mi. 
En serio, leeros el paper que merece la pena y hay mucha información técnica sobre como impedir estas técnicas. 

Sed Buenos ;) 

lunes, 30 de mayo de 2016

Cambiando de Puerto SSH con TOTP

Esto no deja de ser una broma muy loca que se le ocurrió a [Ben Cox]  (el cual tienes una web muy molona) como solución de seguridad para aquellos que utilizan el cambio de puertos automáticos para SSH como "Seguridad" por oscuridad. Cosa que se utilizaba el ejercito español hace unos años en una ponencia en 2011 (sobre el minuto 45:30), estoy seguro que deben haber mejorado mucho. Esto está bien pero y si utilizamos las maravillas de [TOTP] (Time-based One-time Password Algorithm) descrito en el [RFC 6238] y lo usamos para identificar ese cambio de puertos.


Pues eso es lo que hace la PoC de Ben Cox:

  • Genera un contador TOTP 
  • Toma el último dígito, si el resultado es mayor que 65536, vuelve a iniciar el contador 
  • Añade una regla  de PREROUTING iptables para redirigir arriba ese número generado  
  • Espera 30 segundos, retira la regla y repite.


La idea está programada en Go y la verdad es que tiene muy buena pinta y seguro que muchos podéis sacarle partido.

Enlace a la PoC:


Sed Buenos ;) 

domingo, 29 de mayo de 2016

¿Como funciona una Game Boy? Parte 2

Jarvis: El amo Albert no está disponible en estos momentos así que me ha encargado publicar esto para vosotros.

Espero que les guste.

Un saludo.

-------- Inicio del Post -----------------------------------------------

Ya sabéis lo que me gustan a mi estas cosas y posiblemente, cuando me sienta filosófico, os hablare de mi idea del "fin de la magia" ya sabéis ese momento en que descubres como funciona una cosa y ya no la ves como el resto de mortales pero aun así quieres saber mas.

A todo esto,  Hace tiempo [os recomendé unos vídeos] sobre como funcionaba una GameBoy a grandes rasgos,  ahora su creador ha entrado mas en detalle hablando de la RAM y como la utilizaba. Para mi este vídeo es sencillamente genial.  Casi para preparar unas palomitas y aunque solo dura 11 minutos da para tomar muchas notas. 


Sed Buenos ;)

viernes, 27 de mayo de 2016

Backtrack Academy.- FTK imager y Volatility.

Jarvis: El amo Albert no está disponible en estos momentos así que me ha encargado publicar esto para vosotros.

Espero que les guste.

Un saludo.

-------- Inicio del Post -----------------------------------------------

Parece que este es el mes de la Informática forense por que no paro de daros por saco con información relacionada con el tema, pero me ha dado por aquí y creo que os gusta. 

Hoy al ser viernes por la tarde supongo que tendréis un poco de tiempo libre antes de salir por la noche. Así que si os gusta Volatility y amáis tanto a FTKimager (Aunque entiendo que autopsy es mejor pero es un fetiche raro que tengo) como yo, os gustará la guía paso a paso que los amigos de Backtrack Academy han creado para la adquisición de evidencias en volcados de memoria ram con esas dos fantásticas herramientas. 

Enlace a la guia: 
Claro, los mas entendidos veréis que para trabajar con un sistema windows a lo mejor, FTKimager es una herramienta demasiado pesada para un solo volcado de memoria RAM. Bueno, pero por algun lado se ha de empezar. 

Sed Buenos y practicad mas ;) 

-------- End del Post -----------------------------------------------

jueves, 26 de mayo de 2016

Video.- Bankinter Una visión desde el otro lado.

Últimamente y mas después de lo que está dando por saco el tema de SWIFT en los bancos nos olvidamos de como trabaja o como se han puesto al día en seguridad bancos como Bankinter. La verdad es que en mi opinión ha sido rapidísimo y aún les queda mucho trabajo por hacer. Pero no está mal sentarnos un poco y ver el otro lado. 

 

Bueno, pues como ya es habitual parece que invoco la aparición de temas relacionados, OSI ha publicado una nueva alerta sobre una nueva ola de correos de phishing que suplantan al Banco Sabadell. 
Cada día hay mas trampas para el usuario, así que también tenemos que aprender los usuarios ha hacer buen uso de la tecnología y en no caer en este tipos de trampas. Claro que el Banco también tendría que ayudar.

Sed Buenos ;)

miércoles, 25 de mayo de 2016

Glitches, Code Injection y Super Mario World

No se si catalogar esto, pero la verdad es que es genial y una maravilla ya que engloba todo lo que me apasiona. Seguro que muchos de vosotros habéis querido o podido trastear con ROMs de juegos antiguos, pues este hombre no solo ha adaptado el código de Flappy Bird para SuperNintendo sino que encima ha sido capaz de insertarlo en posiciones libres de memoria y ha podido acceder a el a través de diferentes glitches (pequeños errores de software).


Como podéis imaginar el resultado es convertir un juegazo como Super Maro World en Flappy bird y lo mejor es que se grabo mientras realizaba el Code injection. 


Sed Buenos ;)

martes, 24 de mayo de 2016

Luz a los ataques SWIFT

Ya sabéis que están empezando a caer bastantes bancos de alrededor del mundo a causa de los ataques a SWIFT y del Malware que lo provoca. Así que, gracias a que Mcafee ha podido "diseccionar" el bicho en cuestión, ahora podemos arrojar un poco de luz a tan sonado tema.  


Estamos hablando de un Malware que es capaz de encontrar la ruta de una instalación del lector de pdf Foxit, instalarse el mismo en esa ruta y renombrar el archivo original a FoxitReader.exe. Claro, al ejecutar el Foxit Reader de mentida el malware se ejecuta y escribe un archivo de log en tmp (archivos temporales) codificado en XOR.

La verdad es que su funcionamiento es muy curioso y esta claro que quienes lo diseñaron sabian de SWIFT. (al menos mucho mas que yo XD) si tenéis curiosidad sobre las entrañas del malware y el log os recomiendo leer la fuente: 
Sed Buenos ;) 

lunes, 23 de mayo de 2016

Vídeo.- Análisis forense en Android

Hoy toca otro vídeo de estos de libreta, boli y muchos pausas en el vídeo para poder apuntar como es debido. Bueno, posiblemente ya habréis visto el hangout de Lorenzo por Security by Default pero vale la pena compartirla por aquí ya que es una master class de como realizar un análisis forense de Android desde 0 dada por Lorenzo que me da la espina que de esto sabe un rato.

Slides:


Vídeo: 



Aunque Lorenzo no ha hecho mucho hincapié en la gestión de los logs de android que, es verdad que son un muy engorrosos de tratar, en este blog ya tratamos el tema de Logcat y podemos usar bastantes opciones que nos pueden facilitar la vida aunque, igualmente, tendremos que ensuciarnos las manos. 

Coged libreta y bolígrafo y al lío que este Hangout es muy recomendable. Si, de 2 horas, pero se os hará corto si os gusta el tema.

Fuente:


Sed Buenos ;) 

domingo, 22 de mayo de 2016

Do the basics!

El viernes pasado por la tarde me entraron ganas de volver a ver una ponencia del Maligno y elegí el siguiente.

El maligno habla mucho de realizar los "Basics" si tu empresa no ha madurado lo suficiente en el mundo de la seguridad informática. Aunque yo añadiría lo siguiente: "Realiza los Basic antes incluso de tener un pc conectado en la red de tu empresa" 

Ahora me explico un poco pero primero entendamos que son los "Basics": 
  1. Elimina software innecesario.
  2. Elimina o desactiva servicios no esenciales. 
  3. Haz modificaciones a las cuentas comunes 
  4. Aplica un principio de privilegios mínimos 
  5. Aplica todas actualizaciones de software de manera oportuna 
  6. Haz uso de las funciones de registro y auditoría

Piensa que estás abriendo una nueva empresa y que dependes de tus equipos para poder llevarla. Simplemente si desde el principio llevas una buena política de Hardening podrás tener un grado de seguridad con el que estés a gusto y llevar un control de parches y de guías de hardening desde el día 0. Lo cual te ayudará tener una visión mas ajustada de la seguridad de tu empresa. 

¿Qué opináis vosotros?

Sed Buenos y aplicad los "Basics" ;)

viernes, 20 de mayo de 2016

Mossos.- el vídeo de la discordia.

Hace un par de días era la comidilla de todo el mundo la filtración de datos de los Mossos d'escuadra y sobretodo el vídeo del supuesto Hacktivista que se había grabado haciendo sangre de la pagina del sindicato de los Mossos. 


Bueno, no quiero entrar en tecnicismos y además me lo guardo para comentarlo con la gente maja que ya me han prometido que lo quieren comentar. Así que solo diré que Tor como servicio mola, SQLmap es la magia y después decir que este hombre sabe muy bien lo que estaba haciendo. Bueno y supongo que el Maligno debe estar trabajando a marchas forzadas para dar con él. 

Enlace al vídeo (A día de hoy funciona pero descargarlo antes de que lo quiten si queréis verlo detenidamente): 
Pero, este hombre no solo se ha quedado a gusto con la página del sindicato si no que ha dado todas las explicaciones pertinente de porque lo ha hecho, como y además hoy ha sacado una guía rápida para que cada uno pruebe donde quiera. 

Comparto los Enlaces y no os los explico (Como viene siendo costumbre en este tipo de actos) ya que prefiero que cada uno tenga su idea propia y si queréis, con una cerveza o un café lo discutimos tranquilamente en los comentarios (o en físico si me invitáis xD): 

Yo, si me gustara mucho este tema, me haría una copia de todo esta información por si acaso.  Luego la analizaría y sacaría mi opinión.

Sed Buenos ;)

jueves, 19 de mayo de 2016

Inforgrafia.- ¿Como funciona una torre de comunicaciones falsa?

Si habéis ido viendo el progreso de esta blog durante estos meses veréis que el jueves siempre suele haber una entrada mas "light" pero bueno creo que aún así siguen siendo interesantes.

Hoy os voy a dejar con la siguiente infografía para que, si en vuestra calle veis una furgoneta con unas antenas enfocadas a vuestra casa y no son de la televisión, sospechéis mucho. 


Para mas información para como prevenirnos de esto, os dejo la fuente:
Sed Buenos ;)

miércoles, 18 de mayo de 2016

NFC y la cebolleta

Hace un tiendo hablando con unos amigos sobre el NFC no se acreieron que se pudieran cobrarte entre 20€ a 50€ (dependiendo lo que tengas pactado con tu banco) a través de NFC sin introducir el pin en el datáfono. Bueno, yo me calle y deje que hablaran de porqué lo que yo estaba diciendo era falso ... Pues ahora el diario Qué ha publicado un vídeo demostrando que se puede y aprovechando que se ha compartido por la lista de la Rooted pues yo también lo comparto.


¿Lo de la cebolleta? El nombre que se le da a la comunidad a que un malo te te pegue con un datáfono a donde tienes la cartera y te cobre lo que quiera, es el de "ataque de arrimar cebolleta"  especialmente útil en metros en hora punta.
 
Para mas información os dejo el enlace a la web de a oficina de seguridad del internauta donde se explica este ataque mucho mejor:
 Sed Buenos ;) 

martes, 17 de mayo de 2016

Buscando Malware con Volatility

Ya os dije hace un par de días os comenté que la búsqueda de malware en volcados de memoria era algo [que tenia pendiente] y claro, no podemos hablar de análisis de volcados de memoria sin mencionar a Volatility. 


Así que, a no ser que estéis acostumbrados a usar Volatility, hoy os dejo el "usage" y os recomiendo que os leáis detenidamente el caso de estudo con el que me he encontrado de cara y que realmente me parece una clase practica magistral. 

Volatility Usage: 

– Using -h or –help option will display help options and list of a available plugins
Example: python vol.py -h

Use -f <filename>  and –profile to indicate the memory dump you are analyzing
            Example: python vol.py -f mem.dmp –profile=WinXPSP3x86

– To know the –profile  info use below command:
         Example: python vol.py -f mem.dmp imageinfo

- More information:
         https://code.google.com/archive/p/volatility/wikis/FullInstallation.wikifo

Caso de estudio:

Sed Buenos ;) 
 

lunes, 16 de mayo de 2016

Video.- La promoción 2016 del ejercito chino

Hoy pensaba recomendaros un página donde se explicaba con todo lujo de detalles los principios básicos de la arquitectura de seguridad de iOS  pero al toparme con el vídeo promocional, que sacó el ejercito chino, el día 3 de mayo donde se puede ver en pocos segundos a la "ciber squad" de china haciendo trabajos de tierra (no entiendo nada de jerga militar así que espero que me perdonéis si no es el termino correcto). 


Recuerdo hace un par de años como los rumores de que empezaban a florecer las primeras "ciber squads" militares para ataque y defender posiciones criticas expuestas a internet  y que sobretodo se temía china fuese la potencia mas grande en este sector. Tal fue el rumor que hasta Al Jazeera montó su propia "investigación".

Pues ahora ya está confirmado y están reclutando cosa que ya hemos visto en otros países incluido el nuestro. Aunque lo mas me ha llamado la atención del vídeo es que está hecho con un rap de fondo, parece un anuncio de un Call of Duty. Os dejo el vídeo para que le echéis un ojo.


Si nos parecían pocos los ciberataques que venían desde china lo que nos espera. Aunque es solo mi opinión y confío mucho en el nivel los equipos de ciber defensa de esta país pero van a tener mas trabajo seguro. 

Sed Buenos ;)

domingo, 15 de mayo de 2016

Slides.- Detectando Rootkits a través de volcados de memoria.

Supongo que ya sabréis por mi blog lo que me gusta hacer de perito e investigar en volcados de memoria. Pero si algo tengo pendiente y es básico es aprender a ver procesos en ese volcado que correspondan al comportamiento inusual del sistema que se esté analizando. Así que estas slides me parecen un buen comienzo para retomar el tema.



En estas slides que os recomiendo donde se destripan los siguientes tipos de rootkits:

  • Ring 3 (User-mode) 
  • Ring 0 (Kernel-mode) 
  • Basados en Hardware/Firmware based 
  • Basados en Virtualization.

Enlace a las slides:

Sed buenos ;) 

viernes, 13 de mayo de 2016

Slides.- Técnicas de ofuscación para malware en Android.

Si, como ya es hiper-sabido existe el malware para Android y aunque Google haga muchísimos esfuerzos para detectar aún siguen evitando sus filtros. Bueno o a lo mejor es que Google no invierte tanto como debería en buscar Malware en Google Play ya que el maligno se encarga de recordarnos en cada ponencia que aun hay mucho malo suelto por esos lares. 


No obstane si queres aprender a ofuscar malware en Android os recomiendo estas slides aunque he de reconocer que a mi se me han hecho muy tecnicas y no lo he acabado de entender del todo pero seguro que vosotros podeis sacarle mucho partido ya se se explican técnicas de ofuscación con todo lujo de detalles. 

Enlace: 
Sed Buenos ;) 

jueves, 12 de mayo de 2016

0’day en Adobe Flash Player

Bueno, pues como no lo he visto en ningun otro lado hoy pues ahí va.Adobe ha publicado una nueva vulnerabilidad 0’day que afecta a Adobe Flash Player.
  • CVE-2016-4117: Vulnerabilidad que permite a un atacante obtener el control del sistema afectado.

Productos afectados:
  • Adobe Flash Player 21.0.0.226 y versiones anteriores para Windows, Macintosh, Linux, y Chrome OS.


Solución:
  • El fabricante no ha publicado ningún workaround.
  • Adobe tiene previsto publicar el parche correspondiente el día 12/05/2016.

Más información:
Sed Buenos ;)

miércoles, 11 de mayo de 2016

¿Cómo funcionan los Coches Auto-conducidos?

Seguramente, si sois como yo y yo no soy un tío muy raro, siempre que veías algo nuevo en el mundo de la tecnología, tenéis que investigar para saber como funciona y hacerlos una idea aproximada si no no estáis contento.  Pues a mi me pasa y hacia mucho tiempo que tenia ganas de leer algún paper sobre ello y que mejor que sea de la mano de Nvidia ¿no?.


Si, como pensáis el coche se basa en el análisis de los fotogramas que recibe por sus cámaras para detectar si hay carretera o no y hacer sus cálculos para poder virar o continuar recto. También se explica algunas medidas de seguridad que seguramente serán el futuro de mucho trabajo xD.

Os dejo el enlace al paper de Nvidia:

Sed buenos ;)

martes, 10 de mayo de 2016

Aplicando Un Certificado En Nexpose

hace unos días me vi con este problema, necesitaba importar un certificado digital a Nexpose y la verdad es que no sabia como hacerlo. Bueno, si que se que es un certificado digital y podía suponer que necesitaba un CSR (Certificate Signing Resquest) para parearlo, pero no tenia ni idea de como aplicarlo al webserver de la herramienta. Así que, aunque esté un poco desactualizada (por la versión del Nexpose) esta Slides son una buena gua para aplicar un certificado confiable a Nexpose. 


Enlace:
Sed Buenos ;) 

lunes, 9 de mayo de 2016

Python.- Simple Email Spoofer

Siempre hemos querido experimentar que se siente al suplantar la dirección de correo electrónico de otra persona y ay que estamos con las herramientas para "experimentar" hoy quiero que descubráis a [SimpleEmailSpoofer] un par de scripts muy útiles que nos ayudaran a montar servidor smtp y a configurar-lo para poder hacer nuestras pruebas. 


Como ya hemos dicho  esta herramienta se compone de dos scripts:

  • SimpleEmailSpoofer.py: Este script es el que nos permite suplantar una dirección de correo electrónico.
  • spoofcheck.py: Este otro nos permite comprobar si un dominio concreto puede ser suplantado. 
Uso:
  • ./spoofcheck.py [DOMAIN] 

Dependencies
  • dnspython
  • colorama
Enlace a la herramienta: 

domingo, 8 de mayo de 2016

HostedNetworkStarter.- Creando Hotspots Wifi.

Siempre os he advertido de [lo poco aconsejable] que es conectarse a redes Wifi abiertas y de lo fácil que es para los malos crear una de estas. Se que siempre que hablamos de los malos nos entra la curiosidad así que hoy os voy a recomendar una herramienta para crear estos puntos de acceso Wifi y para que empecéis a jugar con ellos.

La herramienta, HostedNetworkStarter es una sencilla herramienta para Windows 7 y posteriores que permite crear fácilmente un punto de acceso con un adaptador de red inalámbrica que utiliza el Wifi alojado función de red del sistema operativo Windows (Vamos al Wifi que estés conectado en ese momento). Con el punto de acceso creado por esta herramienta, podemos permitir que cualquier dispositivo acceda a la red y a la conexión a Internet disponible en el ordenador.

 Enlace para descargar la herramienta se encuentra en la fuente de la noticia (como siempre xD):
Sed Buenos ;) 

viernes, 6 de mayo de 2016

Slides.- Meterpreter Cheat Sheet

Es viernes y hoy tenemos tiempo para jugar con Metasploit y Meterpreter, su payload por excelencia.  Así que os dejo el enlace a dos slides con chuletas sobre comandos de Meterpreter que unidas al [Cheat Sheet de Metaploit] que os recomendé hace mucho tiempo, lo tenemos todo para pasar una tarde entretenida.


Enlace a las slides:
Sed Buenos y imprimiros esto que es miel pura ;) 

jueves, 5 de mayo de 2016

Cada día un poco mas seguros.

Bueno, supongo que este mensaje hace mucho que apareció en el tablón de anuncios del blog pero, yo soy así y lo vi antes de ayer.


Por fin, Google ya ha pensado en los usuarios de bloggero o mejor dicho de los usuarios que acceden a estos blogs de mala muerte como este. Ahora ya os puedo machar a que entréis desde la siguiente url y así navegar un poco mas seguro. 

Por favor, entrad a partir de ahora por la siguiente dirección: 

Si ves que sale el candado en la barra de direcciones, es que lo has hecho bien.

Sed Buenos ;)

miércoles, 4 de mayo de 2016

Nuevas vulnerabilidades en OpenSSL

Como ya os he adelantado esta mañana por Twitter, OpenSSL ha publicado una actualización de seguridad donde se corrigen 6 nuevas vulnerabilidades.

  • CVE-2016-2105: Overflow en la función EVP_EncodeUpdate() que permite a un atacante provocar una “heap corruption”.
  • CVE-2016-2106. Otro overflow en la función EVP_EncodeUpdate() que también permite a un atacante provocar una “heap corruption”.
  • CVE-2016-2107: Un fallo en la implementación del cifrado AES CBC permite a un atacante descifrar el trafico cifrado por TLS.
  • CVE-2016-2108: Dos vulnerabilidades en el encoder ASN.1 permite la escritura fuera de bordes.
  • CVE-2016-2109: Un fallo cuando la información de ASN.1 es leída desde una BIO, permite a un atacante provocar un uso excesivo de recursos o de la memoria.
  • CVE-2016-2176: Otro fallo en ASN.1 cuando los string superan los 1024 bytes permite a un atacante permite insertar información arbitraria.

Productos afectados:
  • OpenSSL 1.0.2
  • OpenSSL 1.0.1 

Solución:
  • Para OpenSSL 1.0.2 actualizar hasta la versión 1.0.2c
  • Para OpenSSL 1.0.1 actualizar hasta la versión 1.0.1o

Más información: 

martes, 3 de mayo de 2016

Actualizar sin mirar, no es una opción

Hace mucho que os estoy insistiendo en actualizar todo el software que tengáis y que si no está en soporte lo eliminéis de vuestros equipos. Pero se ha de hacer bien, que no vayamos a estropear equipos, sistemas o satélites. Que también ha pasado. 


Es mas fue noticia hace unos días que una update del software de un satélite de 286 millones hizo que se desintegrara en orbita:

Así que he querido investigar un poco mas y me he encontrado con unas Slides donde se explica paso a paso lo que ha pasado: 


La verdad es que me parece muy curioso que no se revise el impacto de una actualización en entornos de prueba antes de aplicarlo directamente sobre el satélite (que en este caso seria un equipo) pero bueno de todo se aprende y creo que debería encontrarse el equilibrio entre las ganas de tener operativo un servicio y la seguridad. 

Bueno también os digo que si alguien encuentra la formula de hacerlo sin que ninguna de las dos partes se tiren piedras entre ellos, que patente la formula que se hace rico.

Sed Buenas ;) 

lunes, 2 de mayo de 2016

Imagen.- Entendiendo Debian.

Ya sabéis muchos las ganas que tengo por de cambiarme a Debian y lo cada vez mas chulo que me parece como sistema operativo. Así para acabarlo de entender os recomiendo la siguiente imagen que tenia por el tintero donde podemos ver muchas cosas curiosas.


Toy Story, que recuerdos.

Sed Buenos ;)

domingo, 1 de mayo de 2016

Primer episodio de Mundo Hacker 2016

Hace unos días que estaba buscando como un loco el nuevo episodio de Mundo Hacker que como sabréis han pasado a TVE2 y por fin lo he encontrado. Así que voy a por unas patatas o algo para cenar y me pongo a verlo. 


Creo que en este blog sobran las explicaciones sobre que es Mundo Hacker y mientras se publican los vídeos de Mundo Hacker day estos capítulos son muy recomendables para estar al día. 



Sed Buenos ;)