martes, 31 de enero de 2017

[Vídeo].- Peligrosas decisiones con las SmartCitys

El título es un poco engañoso pero deja entrever el futuro próximo que nos espera y la verdad es que, en mi opinión, seguimos igual.  Las gana por tener productos nuevos hace que dichos productos no estén acabados, no se hayan testeado correctamente y no se ha pensado en la seguridad. Esto se ve muy claro en las vulnerabilidades que hay en coches nuevos o en los sistemas SCADA que están a tiro de query. 

Este documental viene a explicar mas o menos eso, que si bien los objetos inteligentes molan un montón, pero con ojo y con todo el trabajo de seguridad echo. 


Bueno, aunque esto también puede aplicarse a los routers de casa. Viene el señor de "telefónica" nos instala el router, lo configura y cuando queremos conectarnos vemos que se ha dejado el WPS sin desactivar, que usa un cifrado WEP, etc. 

En resumen, aun nos queda mucho camino para andar. 

Sed Buenos ;) 

lunes, 30 de enero de 2017

[Podcast].- Talk Python to me

La verdad es que desde que Python en Español dejó de publicar sus podcast, me había quedado un poco huérfano en lo que novedades en Python se refiere. Así que buscando buscando encontré Talk Python to me, un podcast bastante técnico sobre novedades en este lenguaje de programación que tanto nos encanta y como no, en ingles, aunque un ingles asequible hasta para mi que no me viene nada mal oir y practicar este idioma. 


Aquí tenéis el enlace y suben uno nuevo cada semana. Muy recomendable: 

Como no, otro día de entrada corta pero estoy intentado adelantar otros proyectos que espero poderos anunciar en breve. 

Sed Buenos ;) 

domingo, 29 de enero de 2017

HackThis 10.- We know your hash

Hoy es domingo y toca vídeo, claro que no comentado ya que seguimos de exámenes. Aun que este se entiende mas o menos por si solo, El problema de utilizar contraseñas poco seguras es que el Hash (El resultado de someter tu contraseña a una función de hash) puede haber sido encontrado por los grupos que se dedican a sacarlas. Lo mejor es que estos Hashes son fácilmente comprobables desde herramientas Online. 

Espero que os guste: 


Sed Buenos ;)

viernes, 27 de enero de 2017

Nogotofaill.- Comprueba tus conexiones TLS/SSL

La vulnerabilidades en OpenSSL están a la orden del día y la verdad es que muchas de estas se puede arreglar teniendo cuidado de que certificado instalas por defecto. ¿Como puedes saber si tu certificado cumple las expectativas?


Pues Google nos deja una herramienta en su GitHub que puede ayudar a los desarrolladores o testes a comprobar los errores mas comunes en SSL o TLS llamada nogotofail y ademas tiene mucha documentación.
La verdad es que me gusta bastante y para hacer comprobaciones rápidas con una lines de comando como la siguiente es bastante funcional:
  • python -m nogotofail.mitm --mode socks --port 8080 --serverssl server.crt
Aunque dista mucho de ser un escaneo de vulnerabilidades, merece que le echeis un ojo ya que su funcionamiento es contra menos curioso.

Enlace a la herramienta:
Sed Buenos ;) 

jueves, 26 de enero de 2017

Inforgrafia.- Que no hacer en infraestructuras críticas.

Trabajar en sistemas críticos no debe ser ninguna broma, pero la verdad es que molaría muchísimo, trabajar bajo estrictos protocolos de seguridad que gente muy brillante ha diseñado y pensar que si fallas puede irse todo al cuerno debe molar un montón. La verdad es que si se han tomado tanto tiempo en diseñar protocolos de seguridad es porque la información con la que tienes que trabajar también debe ser igual o mas interesante. Por eso me encantaría tanto trabajar en un lugar de estos. 

Pero si algún dia no nos ponen en contexto del SGSI de la empresa donde trabajamos, recordad lo que no debéis hacer en una simple imagen:


Sed Buenos ;)

miércoles, 25 de enero de 2017

Paper.- Google Infrastructure Security Design Overview

Ya sabéis que el Cloud ha venido para quedarse y ya muchas compañías como Amazon o Google ya venden máquinas en la "nueve" pero, os habéis parado a pensar que políticas de seguridad utilizan. Yo si, y me encantaría lanzar un escaneo de vulnerabilidades en alguno de estos. Así que podéis imaginar lo contento que estoy de tener este paper en mis manos. 


Google ha lanzado un paper explicando, a vista de águila, el diseño de su infraestructura de seguridad. Una lectura muy recomendable aunque corta como esta entrada. Pero que aun me tengo que releer para poder entender algunas decisiones. 

Enlace al paper:

Sed Buenos ;) 

martes, 24 de enero de 2017

Video.- No querias Ruby pues toma tres tazas

Aún no me he puesto a aprender tanto Ruby como me había propuesto el año anterior pero ya sabéis que me encanta las aplicaciones que tiene este lenguaje de programación por lo que respecta a Metasploit. Así que, hoy os voy a recomendar este "mini-curso" de Metasploit muy orientado al uso de Ruby. 


Muy interesante, yo me propongo en este 2017 ir mejorando mi Ruby día a día y voy a ir siguiendo muy de cerca estos vídeos, me han encantado.

Sed Buenos ;) 

lunes, 23 de enero de 2017

Cheat Sheet.- Que hacer si detectamos una intrusión

Aunque sea un poco viejo, siempre vale la pena tener un chuleta cerca por si algún día un malo consigue penetrar en nuestros equipos. ¿Qué deberíamos revisar? ¿Qué comandos debería usar? todas esas preguntas que cuando estas nervioso por la cantidad de alertas que te están llegando y las quejas del jefe te desbordan, te puedes hacer. 


Chuleta, si os la imprimís por delante y por detrás queda genial: 
Revisar logs, logs borrados, tareas programadas que no estaban antes, archivos y claves de registro que no estaban previstas, etc.  Muy recomendable. 

Sed Buenos ;) 

domingo, 22 de enero de 2017

TLS/SSL un link para que dejes de usar SSLv3

Hoy estamos un poco malos por aquí  y no hemos podido subir el vídeo que tocaba para hoy. Así que, puestos a  asustaros un poco mas, os voy a recomendar el siguiente enlace que contiene un gran resumen de vulnerabilidades en el protocolo SSLv3 y algunas de TLS 1.1. Con esto quiero haceros pensar en la cantidad de páginas que estamos visitando y no nos están ofreciendo un certificado adecuado.

Enlace al cheat Sheet de vulnerabilidades en SSL:

Pensad en lo que ganaríais si comprobarais los certificados de las paginas a las que os conectáis.

Sed Buenos ;) 

sábado, 21 de enero de 2017

Activar los chats secretos de Facebook

Ayer me sentí fatal por no poder hacer la entrada diaria, así que aunque hoy sea día de descanso seguro que utilizáis el chat de Facebook de smartphones para quedar para salir esta noche, fiesteros.

Así que, que mejor manera de que dar que a través del chat secreto de Facebook el cual utiliza el mismo sistema de cifrado que Signal del que ya hemos visto que tiene problemas, pero menos da una piedra.

Para activarlos, tendremos que ir chat de un amigo, i tocar el icono de información y allí podremos activar los chats secretos, os pongo una imagen: 


Mas información y fuente: 
Sed Buenos ;)

jueves, 19 de enero de 2017

Infografía.- ¿Qué es el BlackSEO?

Ya sabéis, es este noble artes de subir el rate en las posiciones de los buscadores a la hora de mostrar una query a trabes de malas artes.  Cuantas técnicas existen para esto y cual es cada una, es lo que muestra esta infografía.


Fuente:

Sed Buenos ;) 

miércoles, 18 de enero de 2017

Fallible.- Destripa las APPs de Android

¿Confiáis en todas las aplicaciones que instaláis en vuestros smartphones desde Google Play? Pues muy mal echo. Hoy os voy a recomendar Android Fallible una herramienta que nos permite buscar o subir una App y la destripa para que sepamos que dependencias tiene que strings raros en XML utiliza, etc.  Todos esos datos curiosos que nos pueden hacer sospechar de la actividad de una APP


Pongamos por ejemplo que nos gusta mucho el Clash Royale y queremos hacernos con una guía. Así que buscamos una cualquiera la instalamos y funciona, no pasa nada raro solo un poco de publi pero podemos consultar cartas y mazos. Ahora la pasamos por Fallible y vemos lo siguiente: 


¿Una API Key para el servicio Baidu Maps? ¿Para un servicio Chino de geolocalizacion y planificación de rutas? ¿En una guía de un videojuego? Aquí tenéis mas info:

Como veis a veces hay muchos secretos dentro de las App de Google Play. Aquí tenéis el enlace a la herramienta y espero que la uséis un montón: 

Sed Buenos ;) 

martes, 17 de enero de 2017

McDonals, Contraseñas, XSS y AngularJS

Mucho tenemos en la cabeza que un  [Cross Site Scripting] esta catalogado entre las 10 los ataques mas frecuentes y por eso creo que se ha hecho una con nosotros y hemos ido perdiendo la noción de lo importante que puede ser esta vulnerabilidad si no la defendemos como es debido. 


Por ejemplo tenemos el caso de [Tijme Gommers] que al conectarse a la Wifi de un McDonals no se pudo quedar quieto y tubo que trastear. De esta manera encontró que la aplicación web donde nos redirigen la primera vez que nos conectamos, estaba hecha con AngularJS y sabiendo que utiliza una versión anterior a la 1.6, una versión que por lo que se ve tiene varios fallos de seguridad en su sandbox y que algunos se arrastran hasta las versiones mas nuevas (1.6.1 creo recordar), consigue bypassear la sanbox y ejecutar un .js a través de un Cross Site Scripting reflejado. 

Como datos curiosos: 
  • Comando para ver la versión de AngularJS:
    • angular.version
  • Payload con el que consigue el ataque en el parametro q: 
    • {{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=alert(1)');}}
No voy adelantaros mas sobre el Diclosure y os recomiendo muchísimo que leáis la entrada y al menos yo, me voy a apuntar este workaround porque puede ser muy instructivo.
Sed Buenos ;) 

lunes, 16 de enero de 2017

WhatsApp y su Backdoor

Desde ayer la comunidad, mas o menos, está revolucionada con el "backdoor" de Whatsapp que Tobias Boelter explico en su vídeo. La verdad es que [yo estaba muy contento con el cifrado de punto a punto de WhastApp] y hasta le dedique una entrada. 

Aquí tenéis el vídeo:


Este fallo de seguridad es bastante curioso. Os recordáis que hablamos de que WhatsApp utilizaba una clave privada y otra publica y que esta esta pública la que se distribuía entre tus contactos. Pues, si alguien es capaz de duplicar tu tarjeta SIM puede llegar a ver todos los menajes que tengas no recibidos. Esto es debido a que al registrar un nuevo dispositivo, se genera otra clave publica y WhatsApp obliga a los emisores a reenviar los mensajes pendientes con la nueva clave publica. Así que el mensaje nos llegará en los dos equipos a la vez. 

Muchas mas información en el Blog del Maligno: 

Yo voy a replantearme si seguir utilizando WhatsApp.

Sed Buenos ;) 

domingo, 15 de enero de 2017

HackThis 9.- Edita el código y entra

Volvemos con la solución de estos retos, nos vamos a acabar la página a este paso, pero mola y es una forma fácil de practicar. También a la larga esta es la manera de que podamos subir vídeos mas chulos, paro ahora no que tengo a Kazukun secuestrado estudiando por su bien. 
Algunas veces vale mas editar tu mismo el código para poder deslizarte en una aplicación web. Claro que solo será de manera temporal pero esta muy chulo como reto.
Os dejo con el vídeo:


Sed Buenos ;) 

viernes, 13 de enero de 2017

Cybrary.- Cursos de seguridad online

Formarse siempre esta bien y cuando empezamos en este mundo se nos aparecen un montón de certificaciones con muchas siglas raras y la verdad es que al principio estas bastante perdido  y no sabes que probar ya que todo cuesta dinero. 


Pues Cybrary nos ofrece bastantes cursos gratis y la posibilidad de hacerlos desde su App, lo cual mola mucho.

Aquí tenéis algunos ejemplos:
  • Comptia Security+
  • Security Awareness
  • Curso de criptografía
  • Curso de Ethical hacking y pentesting
  • Curso de hacking e informática forense
  • Comptia Advanced Security Practitioner
  • ISACA Certified Information Systems Auditor (CISA)
  • Certified Information Systems Security Professional (CISSP)
  • Curso de post Explotación
  • Social Engineering and Manipulation
  • Python para profesionales de ciberseguridad
  • Curso de Metasploit
  • Curso de ingeniería inversa y Análisis de Malware
  • Advanced Penetration Testing por Georgia Weidman
Fuente:
Yo ya tengo un par o tres de cursos que quiero empezar este año y si he conseguido que os pique la curiosidad de formaros, este es el enlace a Cybrary: 
Sed Buenos ;) 

jueves, 12 de enero de 2017

Inforgrafia.- ¿Cuanto vales para un Cibercriminal?

Una imagen vale mas que mil palabras y mas si te la da Kaspersky, pero lo que vale mas de mil euros eres tu para un cibercriminal.  ¿Por qué? Bueno, la información a día de hoy es dinero y tus cuentas pueden aportar a un cibercriminal el sueldo de un mes. A parte de todos los dolores de cabeza que vas a tener y reza por no tener información de tu empresa en tu pc. Os dejo con la infografia:


 

Siento que la entrada sea corta, pero hoy es el primer jueves después de vacaciones y no doy para mas.

Sed Buenos ;)

miércoles, 11 de enero de 2017

Incibe y su guias para PyMes

Hoy, navegando por la página de INCIBE ya que sus notificaciones de vulnerabilidades ayudan, me he dado cuenta que existe una sección de Guías para PyMes donde me sorprendido al ver guías que hemos recomendado en este blog. 


¿Que aprenderemos en estas guías?
  • Borrado seguro de la información. 
  • Tecnologías biométricas aplicadas a la ciberseguridad. 
  • Almacenamiento seguro de la información. 
  • Ciberseguridad en la identidad digital y la reputación online.
  • Cómo gestionar una fuga de información. 
  • Gestión de riesgos. 
  • Ciberseguridad en comercio electrónico. 
Tengo algunos amigos emprendedores y siempre me preguntan de todo cuando están en modo paranoico y yo siempre les hago una mini-clase para asustarlos un poco mas, como hace INCIBE en su vídeo de concienciación.  


Ahora ya tengo material para recomendarles por si me preguntan. (O si estáis leyendo esto, ya sabéis guiño guiño ;))

Enlace a las guías: 

martes, 10 de enero de 2017

Bluefluff .- Los Furbys destruirán el mundo.

Los juguetes cada vez me sorprenden mas, pero los que de verdad me llaman la atención son los fabricantes que, con el fin de sacar un producto nuevo para la campaña de Navidad, se les olvida la seguridad. Hoy me ha llamado la atención el siguiente vídeo de Furby Connect que hasta donde yo se, es la última versión de estos aparatos.

Furby aprendiendo Kungfu

Si, se ha encontrado el punto débil de estos invasores y es el Bluetooth Low Energy. Mirad, mirad que pasada.


La verdad es que para cacharrear a nosotros nos encanta, pero estarés conigo que esto no puede venir así de fabrica. Aquí tenéis mucha pero que mucha información y hasta una herramienta . Lectura casi obligada si tenéis tanta curiosidad como yo por estas cosas.

Sed Buenos ;) 

lunes, 9 de enero de 2017

KickThemOut.- Échalos a todos

K4m4 [Nikolaos Kamarinakis] siempre se sorprende con sus herramientas. La verdad es que son ideas sencillas pero a las que nadie hemos caído o si lo hemos hecho nunca nos ha dado por programarlo. 

Después de [ONiOFF] un script para comprobar si tus sitios favoritos de la deepweb están activos, nos presenta KickThemOut un programa y Python (Dios mio que de buenas alegrías me ha dado saber programar en el <3 ) que nos permite echar a quien queramos de nuestra red.  Hasta aquí genial, es fácil de usar, pesa poco, poquitas dependencias. Guay muy guay.  Pero lo que de verdad me apasiona de este script es la manera que tiene de echar a la gente. 

Lo hace mediante un ARP Spoofing. ¿Que os parece? ¿Se os había ocurrido? ¿En serio podemos echar a alguien de la red con este tipo de ataques?


Pues si, solo hace falta enviarlo a la victima a una IP que no este en nuestro rango de Ips de nuestra red local por lo que no podrá conectar. Fácil, cómodo y con Python. 

Aquí tenéis una demo sobre esta herramienta: 


Y aquí tenéis el enlace para descargar e instalar la herramienta además de fuente:
Una herramienta muy chula que me ha hecho tener que volver a repasar mis nociones de ARP Spoofing y si os he de ser sincero. Nunca me había parado a pensar en una aplicación para esta para un ataque como este.

Sed Buenos ;)  

domingo, 8 de enero de 2017

Router Comtrend y su contraseña Harcodeada

En los vídeo de HackThis estamos viendo la importancia de mirar siempre el código fuente de la página ya que nos podemos encontrar con mas de una sorpresa. Como por ejemplo en la página web de configuración de los routers Comtrend. 

Si, se que teníamos que seguir con los HackThis pero con las fiestas se nos ha echado el tiempo encima para poder traeros el siguiente grabado con la aterciopelada voz de Kazukun. Pero creemos que esto lo compensa de sobras.

En el panel de configuración web le los Comtrend, (Una vez estamos dentro de la wifi) en la /passwords podemos encontrar tanto el nombre de usuario como la pass por defecto del router y de esta manera hacernos con el control del dispositivo. 


Gracioso, pero esto no tendría que estar así por defecto ya que la misión de las "telefónicas" debe ser ofrecernos un sistema mas o menos seguro por defecto y no una página de configuración echa en 5 minutos pensando en que nadie reparará en este tipo de fallos...


Sed Buenos ;)

viernes, 6 de enero de 2017

Hackea tu SmartWatch para que sea 100% OpenSource

¿Los reyes magos os han traído un smartwatch? pues ahora podéis instalarle un SO 100% open source del cual Richard Stallman estaría orgulloso.  Todo esto es posible gracia a la magia de adb (Android Debug Bridge) del que ya hemos hablado mucho en este blog.

Si, hoy también he jugado un poco con vuestra ilusión al poner ese titulo ya que este sistema operativo solo esta disponible para: 
  • LG G Watch
  • Sony Smartwatch 3
  • Asus Zenwatch 2
  • Si sabéis de mas SmartWatches en que funcionen  por favor, ponerlo en los comentarios. 
Ok, si sois de los afortunados que poseen este tipo de Smartwarches os presento AsteroidOS


Aquí tenéis toda la documentación, que da para estudiar un rato pero bueno, si tenéis ganas de que vuestro dispositivo sea opensource ya estaréis familiarizados con este tipo de información: 
Y por si lo queréis probar, aquí tenéis la guía para instalarlo en cada uno de los smartwatches compatibles:
 Sed Buenos y espero que los reyes magos hayan sido buenos con vosotros.  ;)  

jueves, 5 de enero de 2017

Pass the Hash & PowerShell

Cada vez tengo mas claro que con PowerShell se puede hacer de todo es mas ya la estoy substituyendo por la consola típica de Windows. Pues ahora y gracias a [Kevin-Robertson] podemos utilizar esta shell para realizar ataques de Pass the Hash. Que, en mi opinión siempre es un Win si accedemos a un servidor con poderes.



Para los que no sepáis de lo que va esta técnica aquí tenéis mas info: 
Es una técnica de hacking que permite a un atacante autenticarse en un servidor / servicio remoto mediante el hash NTLM y / o LanMan de la contraseña de un usuario, en lugar de requerir la contraseña de texto el caso.
Enlace a la herramienta:
Sed Buenos ;) 

miércoles, 4 de enero de 2017

Project Springfield.- Busca vulnerabilidades en tus binarios.

Ayer me sorprendí viendo el siguiente episodio de Channel9 sobre seguridad en cloud y como con el lenguaje F (el cual era la primera vez que lo veía) Microsoft había conseguido una plataforma de fuzzing para binarios alojada en la nube llamada Project Springfield.


Lo cual mola mucho y lo del lenguaje F me pica mucho la curiosidad, pero para los que no sepáis que el fuzzing aquí tenéis este extracto de la Wikipedia que os lo explicará mucho mejor que yo: 
"Fuzzing es una técnica de pruebas de software, a menudo automatizado o semiautomatizado, que implica proporcionar datos inválidos, inesperados o aleatorios a las entradas de un programa de ordenador."
Así que gracias a eso podemos tener un ciclos de vulnerabilidades muy chulo funcionando el la nube. Siempre y cuando queramos pasarle nuestros binarios a Microsoft. 


Si tenéis curiosidad acerca de este proyecto podéis pedir una prueba en la siguiente página:

Y prometo mirarme mas en profundidad a ver de que va este lenguaje F y a ver si podemos hacer un par de entradas al respecto. 

Sed Buenos :) 

lunes, 2 de enero de 2017

Vídeo.- Console Hacking 2016

¿Os creíais que no iba ha decir nada del hackeo a la PS4? Pues no, la verdad es que si algo tiene este congreso en especial es que se habla muchísimo del hacking en consolas y este año le ha tocado a PS4. Aunque tengo que aprender mucho mas de lenguaje máquina para poder saber que está haciendo en cada momento.


Así que, aquí tenéis el vídeo: 
Y aquí las Slides: 

Yo voy ha hacerme unas palomitas, y a aprovechar un poco la tarde aprendiendo lenguaje ensamblador que voy muy cojo con ello y creo que dentro de poco tiempo va a ser el futuro para la seguridad informática.

Sed Buenos ;)

domingo, 1 de enero de 2017

HackThis 8.- Binario tenía que ser binario

Seguimos con los vídeos y a partir de hoy Kazukun ha preferid dar un plus y poner su voz para los vídeos e ir explicando como solucionarlos. La verdad es que nos gusto bastante grabarnos para el [reto de Navidad de SANS] y estas son las consecuencias.

Os dejo con el vídeo y solo remarcar que ya va siendo hora de hablar de bases de datos y cifrados que, aunque HackThis cambie de lenguaje los nombres de usuario y las contraseñas, aun podemos encontrarlas y loguearnos. Esperamos que os guste: 


Sed Buenos ;)