martes, 19 de septiembre de 2017

CCleaner, Malware y el Workflow

Hace un par de días que por las redes sociales ha corrido esta noticia y no he podido evitar comentarlo en el blog.  CCleaner sufrió un ataque de cadena de suministro que utilizando los servidores legítimos para distribuir este software. Esto hizo que durante un tiempo se distribuyeron un malware haciéndose pasar por las versiones CCleaner 5.33 y CCleaner Cloud version 1.07.3191 y que extraía la siguiente información de nuestros equipos:
  • Nombre del PC
  • Lista de software instalado, incluyendo actualizaciones de Windows
  • Lista de todos los procesos en ejecución
  • Direcciones IP y MAC
  • Información adicional como los procesos que se ejecutan con privilegios de administrador y si se trata de un sistema de 64 bits.

Pero, ¿Como funciona este malware? Pues los amigos de Talos nos lo explican: 


Si os habéis quedado con ganas de saber mucho mas, os animo a leeros la fuente de esta noticia donde se disecciona el malware como si no hubiera un mañana:

A día de hoy ya hay varios antivirus que detectan este Malware, actualizalo y dale una pasada a tu equipo por si las moscas. 

Sed Buenos ;)  

lunes, 18 de septiembre de 2017

NSA Code Breaker Challenge 2017

En esta entrada no os voy a explicar nada por que yo la ingeniería inversa no la domino todo lo que me gustaría. Así que creo que ha llegado el momento de aprender con el siguiente desafío de la NSA.


Lo mejor de este reto es que la NSA ha compartido todos los apuntes que necesitaremos para solucionarlo y los podéis encontrar en la siguiente dirección: 

La información esta genial aunque yo necesito unas clases particulares, que lo he intentado pero no entra. Pero para todos aquellos que queráis intentar jugar al reto de la NSA aquí tenéis el enlace: 

Sed Buenos ;) 

domingo, 17 de septiembre de 2017

CyberPunk SUMMER 2017 (0).- WIFISLAX en USB

Este fue el vídeo preparatorio para un verano cargado de Hacking, cryptomonedas y en resumen tecnología. La verdad es que tan cargado no estuvo, pero nos lo pasamos genial jugando con la tecnología y aprendimos un montón que de eso se trata.

Esperamos que vosotros aprendáis también con nosotros en estos vídeos.  Además os lo explica Kazukun que es un Crac en estos temas.


Sed Buenos ;)

viernes, 15 de septiembre de 2017

Vídeo.- Computer Networks

Por fin es viernes y seguro que tenéis ganas de trasnochar sea como sea. Así que hoy no os aburriré con mis tonterías y pasaremos directos a la recomendación. Que mejora que un viernes lluvioso (si, aquí llueve y hace fresquito) para quedar se en casa y ver algún vídeo tranquilo. 

Pues hoy, quiero recomendaros el siguiente vídeo de Crash Course donde nos explican con pelos y señales como funciona una red que usamos cada día para conectarnos a Internet o a otros recursos compartidos de nuestra red interna. Un buen repaso que no dura mas de 15 minutos.


 

Sed Buenos ;)

jueves, 14 de septiembre de 2017

Infografia.- Historia del Malware

Es Jueves y volvemos con las Infografias. Ya dijimos que usaríamos esta sección para tratar conceptos básicos de la seguridad informática y hoy vamos a darle un repaso a la historia del malware esas piezas de código creados por un ser humano que se dedica ha hacer el mal.

Fuente:
 
Sed Buenos ;) 

miércoles, 13 de septiembre de 2017

Tonto.- Un fallo mas a mi lista.

Tonto es el asistente virtual, ya sabeis uno de esos mayordomos virtuales que se han hecho tan famosos después de la película de Iron Man y que cree una semana santa cuando quise aprender Python. 


La verdad es que el proyecto tiene mucha aceptación entre la comunidad de Youtube que aporta todas las ideas, hasta cree el foro pero parece que esto no cuaja tanto. (si, el que habla en el vídeo soy yo.)


Recuerdo a todos los interesando que en este blog prometí una nueva versión para finales de este mes y revisando el código me he dado cuenta de un error que cometí [al traspasar el código] a la versión 3.X

Este error proviene de que el Lexical analysis, un parser que usa Python 3.X para leer (Si no es así corregidme), tiene diferencias secuencias de "escape" como así lo llama como así lo llama en la [documentación] oficial.

Un ejemplo de las secuencia de escape mas conocidos seria el \n que nos da la oportunidad de que Python entienda que queremos un salto de linea. Pues en Python 3.X existe \U con lo que python genera un valor Unicode de 8 caracteres.

En tonto las llamadas a comandos del sistemas son muy frecuentes gracias a os.system y si queremos abrir una carpeta en un sistema Windows lo mas seguro es que lo hagamos de la siguiente manera:
  • '"start C:\Users\Eric\... "'
Aquí está el problema al incluir \U en la ruta Python lo detecta como una secuencia de escape y da un error ya que intenta generar un valor Unicode de 8 caracteres para la letra "s" y esta claro que no puede.

Para solucionar este error tenemos que hacerle entender al parser de Python que todo es un único String por lo que, no nos queda otro remedie que porner el prefijo r delante de nuestro String para convertirlo en un raw string de la siguiente manera:
  • r'"start C:\Users\Eric\... "'
Y puede que todo esto es para decir que he agregado un r a los string que lo necesitaban para que tonto funcionaria. Pero el porque es lo importante y es la diferencia entre que tonto funcione y no.

No obstante ya he editado el script de Tonto 3.X en el repositorio de GitHub para que no haya ningún problema:
 Muchas gracias,
Un saludo. 

martes, 12 de septiembre de 2017

#Python Taint.- Bugs aquí bugs allá

Ay Python de mi corazón que tantos buenos ratos me has dado, y que pocos he invertido en buscar bugs y han tenido que venir otros a solucionarme la papeleta con Python Taint. 



Una herramienta que nos permite encontrar vulnerabilidades en aplicaciones We  desarrolladas en Python, Desarrollada en Python 2.7 (No hagáis como yo que he intentado arrancarlo en 3.5) y su instalación es la mas cómoda que he visto en tiempo:

 Enlace a la herramienta:
Fuente de la noticia y muchas mas información:
Sed Buenos ;)

lunes, 11 de septiembre de 2017

LOG5.- Fin de las vacaciones.

Hoy es el último día de las vacaciones y eso quiere decir que es el último día del CyberPunk Summer 2017 y toca volver a las andadas. La verdad es que me han sentado genial este mini-parón de "tres semanas" y pongo tres semanas entre comillas, ya que a la segunda semana ya estaba queriendo volver a postear. 

Como habéis ido viendo en estos logs y por Twitter, hemos aprendido un montón sobre cryptomonedas, hemos convencido a Kazukun para que traiga algunas entradas para este blog y todas las sesiones de hacking wireless reales que nos hemos echado a las espaldas. 

Con lo que realmente me quedo son con las mini-aventuras que han ido saliendo por el camino. Como el día que empalmamos para ver el combate de mileno mientras hablamos de cosillas geeks o las practicas de wardriving con la pocket chip donde después de unas cuantas horas nos dimos cuenta que el driver de las antenas Alpha no lo teníamos instalado en la Pocket chip. 

Eso si, si una cosa me ha quedado clara durante estas vacaciones es que los instaladores de routers que vienen a nuestras casas deberían aprender o almenos tener una formación orientada a la configuración segura de estos equipos ... la verdad es que dan pena. 

Pues después de este lloro, mañana volvemos a la carga con las pilas cargadas.

Sed Buenos ;)

domingo, 10 de septiembre de 2017

HackThis Real 1.- Borra bien tu correo

Volvemos a las andadas y mientras preparamos los vídeos del CyberPunk Summer 2017 hemos vuelto para terminar los retos que podamos en HackThis empezando por un Reto real. 

La verdad es que el reto que os vamos a mostrar fue muy fácil el cual Kazukun lo terminó mientras le estábamos haciendo una ojeada.  Pensábamos que al ser la última sección que nos quedaba iba a ser mas difícil pero de momento no es así. 

Eso si, este vídeo demuestra que las contraseñas nunca han de ser distribuidas mediante correo electrónico ya que cualquiera podría hacerse con ellas. 


Sed Buenos ;)

viernes, 8 de septiembre de 2017

BluexGear.- Conclusiones.

Esta es la última entrada referente a este juego, nos lo hemos pasado bien, hemos trasteado pero ya es hora de volver un poco al cauce normal de este blog. Pero poco a poco, que prometimos que el Cyber Punk Summer 2017 duraría hasta el lunes 11 de setiembre.


Como visteis las entradas de esta semana han sido diferentes, no solo por el hecho de que tratara sobre videojuegos si no por ser un poco mas directas sin tratar de tonto a la gente y presentando como lo he hecho con gif y vídeos.

Se aprende trabajando en lo que te gusta y de esta experiencia montando este juego me quedo con una sensacional clase de git para poder subir 1,8 Gb a Github sin tener que crear una por una todas las carpetas. Una clase de gimp cuando no me funcionó el Fighter Factory y al final tuve que usar un Screen Pack y toda la configuración de archivos que conlleva mugen. 

Por eso, quiero haceros una pregunta, ¿os gusta este tipo de entradas mas locas y mas directas o preferís que sigamos buscando novedades y publicándolas?

Os dejo la encuesta de twitter por favor, contestad y ponedme en lo comentarios, si queréis, el por qué pensáis eso: 


Sed Buenos ;) 

jueves, 7 de septiembre de 2017

BluexGear.- Screen Pack y enlace de descarga.

Ayer me quede hasta tarde tratando que el Fighter Factory, un programa para editar cualquier archivo dentro de Mugen, me hiciera caso en Linux. Ni con wine fui capaz de hacerlo ... me petaba al intentar cargar una imagen .bmp ... Así que, decidí buscar un screen pack ya hecho por la comunidad y modificarlo para que conservara las barras de vida que le habíamos puesto, las canciones y los personajes.


Y no ha quedado mal ya me diréis que tal está al jugarlo, a mi me mola y creo que es mejor que el Capcon fighting Jam que recibimos para PS2 en su día.  

Un Screen Pack o también llamado motifs son configuraciones personalizadas de los gráficos y sonidos utilizados en la interfaz del motor (pantalla de título, pantalla de opciones, pantalla de selección de caracteres, etc.) para el motor de juego M.U.G.E.N.

Así que mucho ojo si tenéis un mugen creado y añadís un screen pack encima, tened una copia de las pantallas, personajes y sonidos ya que tendréis que volverlo a configurar.

Buenos al final este ha sido el resultado, juzgad vosotros mismos: 

Enlace al Repositorio de GitHub para que os lo podáis bajar:
Sed Buenos ;) 

miércoles, 6 de septiembre de 2017

BluexGear.- Barras de vida y la música de los escenarios.

Hoy me he dedicado sobretodo a cambiar las barras de vida y a arreglar un problema de sonido que, al usar wine aun sigo teniendo.  El problema radica en que pese a estar bien configurado el archivo mp3 en el .def de la pantalla y el archivo en la carpeta sounds como le corresponde hay aveces que el audio se escucha y otras en las que no. 


Bueno, al menos ya no retruena y he podido nivelar el sonido de los sfx con el archivo mugen.cfg 

Eso si, si vais a incluir algunas barras de vida en vuestro motor tened donde copiáis los archivos y si tenéis bien configurado la ruta al fight.def en el select.def en la capeta data. (Yo he tenido bastantes problemas esta mañana)

Mañana y para finalizarlo mañana intentaremos cambiarle la pantalla de titulo modificando los .sff de system con Fighter Factory y si no probaremos de ponerlo en con un Screen pack y os contaré que es. 

No obstante de momento así es como se ve el juego, no esta nada mal pero a ver si mañana le podemos dar un lavado de cara y dejarlo impoluto: 


Tenéis todas las últimas novedades en la versión test de repositorio de github:

Sed Buenos ;) 

martes, 5 de septiembre de 2017

BluexGear.- Github y los escenarios.

Hoy, haciendo este juego que pensaba que iba a ser una tontería, he descubierto que a la aplicación web de GitHub no le gusta que le pasemos carpetas de ningún tipo ni archivos mayores de 25MB. Así que lo que parecía fácil, ha pasado a ser una clase de git interesante. 

Para no entrar en detalle ya que esta no es una entrada de git. Así que, quedaros con lo siguiente: 
  • git init
  • git add *
  • git commit -m "El mensaje que tu quieras"
  • git push origin master 
También os recomiendo que visitéis el siguiente enlace para no caer en el abismo del git y entenderéis el orden de los comandos:
Bueno, sea como sea, al final he podido subir las tres versiones del juego que tengo y hasta me he tomado la libertad de hacer un README molón y apuntar algunos problemas que he podido ver yo. Como por ejemplo Rachel un personaje que en casi cada ataque no para de decir USELESS. 


Si lo jugáis y veis mas errores de este tipo hacedme-lo saber. Aquí tenéis el enlace al GitHub para que os lo descarguéis y empecéis a jugar:

Ademas he incluido los 15 escenarios que os prometí. Por si queréis hacerlo tendréis que editar el archivo select.def como hicisteis con los personajes solo que indicando que los escenarios están en la carpeta /stages/nombredelapantalla.def 

La verdad es que me esta gustando hasta jugarlo yo pero aun le queda muchas cosas que agregar, como cambiarles las barras de vida y la pantalla de introducción. 

Yo creo que está quedando chulo.

Pero, en la versión de Test ya podréis ver que el modo Arcade se puede jugar tanto en solitario, como en equipos de hasta cuatro personajes por turnos o por equipos de 2 de manera simultanea.

A que mola ;)

Mañana un poco mas aunque no creo que sea tan extensa.  Hoy me he pasado un poco.

Sed Buenos ;)

lunes, 4 de septiembre de 2017

BluexGear.- Añadiendo personajes

A parte de todos los tipos de archivos que vimos ayer, también podemos encontrar los siguiente solo en los personajes que queramos incluir a nuestro juego.
  • ACT
    • Los archivos de paleta (.act) son archivos de 256 datos de color (no he sabido una forma mejor de traducirlo mejor) que determinan qué colores van a donde un personaje. Estos son determinados por el archivo .def.
  • CNS / ST
    • Las constantes y los archivos de estado (generalmente .cns y .st) son archivos muy importantes que contienen toda la codificación del personaje; sin ellos, un personaje sería incapaz de funcionar. Cada acción que un personaje hace está programada en estos archivos junto con cualquier condición como daño y los fotogramas reales en los que un movimiento puede impactar.
  • CMD
    • El archivo de comandos (.cmd) es la forma de configurar cómo se activan los movimientos de un personaje, así como cualquier ID de la inteligencia artificial pueda tener.
Añadir un personaje es tan simple como descomprimir el archivo en la carpeta char de nuestro mugen y modificar el archivo select.def que encontraremos en la carpeta data, copiando y pegando el nombre de la carpeta del muñeco. 

Ademas existen un montón de tutoriales en Internet que nos enseñan como hacerlo.


Ok, llegados a este punto puede que no entendáis nada de lo que digo por que usaré referencias a otros juegos de lucha. 

Ayer seleccionando los personajes que quería agregar al juego vi queno habian suficientes personajes vanilla de Blazblue para completar los 7 personajes que me propuse completar para esta esta semana, así que tuve la suerte de encontrar una colección de personajes editados para ser jugados con el estilo del Marvel vs Capcom (super espectaculares, super saltos, launchers y todo eso).

Me entró la duda a que estos personajes tenían los archivos snd en ingles y los prefería en japones y tengo que contaros que pensaba que no podríamos hacerlo pero la verdad es que si quería un juego serio mejor hacia un Arcana Hearts vs Guilty Gear que son las dos sagas que se olvidaron en el crossover y listo. Así que me puse a probar personajes. 


Pues no, BluexGear será un castigo a Blazblue (lo de castigo es en broma ya que los muñecos son muy divertidos de usar) y tendrás las voces en ingles y partículas cutres. 

Dicho esto os voy a presentar a los personajes que vamos a añadir para este juego:

Ragna
Jin
Noel
Hakumen
Lambda
Bang
Rachel
Hazama
Sol
KyKiske
Millia
Baiken
Potemkin
Faust
Slayer
INO

Mañana tendréis la versión Stable y la Test en Github para que podáis probarlo.

Sed Buenos ;)

domingo, 3 de septiembre de 2017

BluexGear.- M.U.G.E.N & Basics


Como veis el juego a pasado de llamarse BlueGear a BluexGear ya que me molaba mas. Ademas he hecho un poco de brainstorming esta mañana para ver como podía enfocar el juego, que cantidad de personajes, pantallas y canciones me dará tiempo a agregar al juego durante esta semana.

Así es como quedará mas o menos, después ya nos pelearemos con los personajes y las limitaciones que nos encontremos:
  • 14 personajes jugables divididos en 7 de Guilty Gear y 7 de Blazblue + 1 final boss.
  • Modo Arcade jugable tanto para 1 personaje, equipos de 4 personajes por turnos (KOF) o 2 personajes simultáneamente. 
  • 16 escenarios jugables divididos en 7 de Guilty Gear y 7 de Blazblue + 1 final boss + 1 pantalla de Entrenamiento. 
  • 16 Canciones divididas en 7 de Guilty Gear y 7 de Blazblue + 1 final boss + 1 pantalla de Entrenamiento. 
Ok, pues una vez declarados nuestros objetivos, pasemos a explicar un poco que es M.U.G.E.N y como funciona:


Como ya dijimos en la entrada de ayer M.U.G.E.N es un motor para crear juegos de lucha 2D que está escrito en C y que fue lanzado por la empresa Elecbyte de forma gratuita mientras no se use para fines comerciales. 

M.U.G.E.N contiene varios archivos de configuración para que podamos empezar a personalizar nuestro juego. Quitando los que corresponde a los personajes, tenemos 7 tipos de archivos: 
  • DEF:
    • Los archivos .def le dicen al motor qué archivos tiene que utilizar y dónde están ubicados, qué caracteres se incluirán en la pantalla de selección y sus ubicaciones, que pantallas se incluirán, en que pantallas deben luchar los personajes en modo Arcade, en que orden aparecen y cuántos pueden combatirse por orden, etc.
  • SFF
    • Los archivos sprite (.sff) contiene todas las imágenes (sprite) usadas por una pantalla, un personaje, etc. Debido a que M.U.G.E.N ejecuta imágenes con una paleta de 256 colores, la transparencia tiene que ser un solo color forzado en lugar de una transparencia real (normalmente rosa). Si un sprite se ejecuta fuera de la paleta responderá con el color negro como transparencia. 
  • AIR:
    • Los archivos .air determinan qué sprites se usan para cada acción que hace un personaje y en qué orden aparecen la:  transparencia alfa, la rotación de los sprites en la animación, los recuadros hit / colisión y la rapidez con la que se reproducen las animaciones.
  • SND: 
    • Los archivos de sonido (.snd) contienen los efectos de sonido producidos por un personaje o barra de vida. Sólo se admiten archivos .wav.
  • BAK:
    • Los archivos de copia de seguridad ( .bak ) sirven como respaldos de todos los archivos que estaban abiertos en el momento en que se hizo clic en el botón y son útiles al crear cualquier contenido para MUGEN si se produce un desastre y se pierden o corrompen todos los archivos originales.

     Otros tipos de archivo:
    • CFG:
      • El archivo de configuración ( .cfg ) se utiliza para ajustar las diferentes configuraciones del motor MUGEN, como el tamaño y la resolución de la pantalla, cualquier complemento adicional y si la IA puede "engañar" o no.
    • FNT:
      • Los archivos de fuentes ( .fnt ) son utilizados por el motor MUGEN para determinar el aspecto del texto del juego. 
Si, ha sido una entrada un poco tocha pero cuando entremos mañana a ver como agregamos son 14 personajes se agradecerá tener un poco de control sobre que es cada tipo de archivo. 
 
#si estáis siguiendo estas entradas, os pongo como deberes encontrar una página para bajaros personajes hechos por la comunidad y el Motor.

Sed Buenos ;)

sábado, 2 de septiembre de 2017

BlueGear.- Blazblue x Guilty Gear

Como no me podía estar quieto y como ya os comente ayer, desde hoy has ta el día 8 de septiembre me he propuesto crear un juego de lucha. Así me quito una espina que tengo clavada desde que [Arc system works] presento en la [Evo 2017] un crossover entre sus franquicias de juego de lucha, pero me faltaba que añadieran la saga de Guilty Gear.

Para los que no sepáis nada de estas dos sagas os dejo unos enlaces a youtube para que podáis ver de que tipo de juego estamos hablando y las características de cada saga.

Blazblue:
GuiltyGear:


No será nada del otro mundo pero creo que podemos divertirnos mucho trasteando por eso, y desde ya os pido que aportéis todas vuestras ideas.

Muchos fans lo queríamos T_T
Para empezar, vamos a utilizar el motor para videojuegos de lucha M.U.G.E.N. Este motor nos permite crear juego de lucha 2D y es de libre utilización para fines no comerciales. Mas concretamente la versión Hi Res ya que nos permite usar personajes y pantallas que estén en alta resolución.

Así que nos va perfecto para trastear un poco durante esta semana. Os dejo el enlace a la wikipedia para que podáis echarle un ojo y mañana empezamos explicando un poco mas como funciona este motor y lo que podemos hacer.
 Sed Buenos ;)

viernes, 1 de septiembre de 2017

LOG4.- Ansia viva

He intentado aguantar y tratar de descansar estas vacaciones pero ya no puedo estar sin publicar una entrada. Pero bueno, primero os pongo un poco al día de como ha ido nuestro CyberPunk Summer:

  1. A mediados de la semana pasada quise dejar blogger por todo el tema de HTTPS y por eso hice una encuesta en twitter donde me aconsejasteis que no hiciera tonterías y siguiera con esta plataforma. 
  2. Hemos evolucionado en nuestro "estudio" de las criptomonedas gracias a un amigo y ahora estamos minando Monero. Una moneda del tipos Proff of Work que de momento está saliendo a cuenta. 
  3. Hoy me ha encantado encontrarme con el videojuego/sátira de Islamoncloa una sátira genial hecha como si estuviéramos jugando a los duelos de espadas del Monkey Island  sobre las luchas verbales que podemos ver todos los días en la Moncloa. 
Para finalizar, la verdad es que me está costando no publicar una entrada diaria como lo hacia antes y como la idea de Isla Moncloa me ha vuelto loco. A partir de mañana hasta el día 8 de septiembre, haremos nuestro propio juego de Lucha (A lo Street Fighter) en este blog. Ademas entra dentro de las tareas programas para el CyberPunk Summer.

Así que, no seguiremos con las entradas sobre seguridad informática hasta el 8 de septiembre. 

Sed Buenos ;)

viernes, 18 de agosto de 2017

LOG3.- Criptomonedas y mas.

Hoy no tenia nada pensado para este log, ni estaba en mi mente hasta que ayer paso el atentado terrorista en medio de las Ramblas de Barcelona y esta mañana en Cambrils. Pero se que muchos amigos leen este blog aunque sea ya por rutina o por que me he hecho muy pesado. 

Así que nada, estoy bien  y seguimos adelante con todos nuestros planes y proyectos.


Bueno, si que hemos podido aprovechar un poco nuestro CyberPunk Summer: 
  1. Ahora estoy aprendiendo un montón sobre criptomonedas gracias a Kazukun y ya me ha prometido que escribirá algunas entradas para el blog. 
    1. PoS, PoW e Hybrid y tengo que probar cosas bonitas como las que cuentan Yaiza Rubio y Felix Brezo en su charla de la RootedCON: https://www.youtube.com/watch?v=bCG0XCaWsZk
  2. Y por otro lado tenemos un vídeo timelapse muy bonito donde de como intento usar Kismet y Airodump-ng con Pocket CHIP y descubro que no estaban instalados los drivers de la antena ... pero bueno hemos visto que mola y posiblemente hagamos mas pero desde un enfoque mas grande. Bueno cuando los podamos subir ya veréis. 
Muchas gracias a todos aquellos que me conocéis y os preocupasteis por mi y nada mas de momento, nos ha dado muy fuerte por hablar y aprender sobre criptomendas ahora y creo que seguiremos durante un tiempo. 

Sed Buenos ;) 

lunes, 14 de agosto de 2017

LOG2.- Ludismo y Pokemon

Aquí tenéis el segundo Log de mis vacaciones y de como está funcionando nuestros experimentos. Como parte de nuestro CyberPunk Summer nos pusimos como meta en la entrada de vacaciones trastear con emuladores, Python y la Pocket CHIP.


  • Siendo transparentes el script que os vamos ya estuvimos trabajando con el un poco antes de vacaciones. Como podréis ver en el siguiente tweet que compartí. 
    1. Pero ahora es cuando nos hemos parado a utilizarlo y a subirlo a nuestro GitHub para que todos los que tengáis una Pocket CHIP o un sistema de base Linux podáis utilizarlo. No es gran cosa y está en completo spagetti code pero es funcional y mola un rato. 
      1. Enlace al script: https://github.com/StateX/PokeMenu 
    2. Y hablando de Pokémon, una actualización de ultima hora que no he podido resistir a compartiros. Se trata de una ejecución arbitraria de código donde no solo se terminan el juego de Pokémon amarillo en 8 minutos si no que además les ha dado tiempo a incorporar cameos de otros videojuegos.
      1. Una pasada: http://tasvideos.org/5384S.html
  • Por otro lado el router que tenemos para trastear se nos ha quedado corto y lo único que nos queda por experimentar con es ver con que tipo de antena wifi "hecha en casa" conseguimos obtener mas potencia. 
    1. Aquí podréis ver parte de nuestras manualidades: https://www.instagram.com/p/BXvmXfdhsi0/?taken-by=realstatex
Como veis poco a poco vamos cumpliendo objetivos y también hemos grabado algún capitulo que otro de nuestra CyberPuk Summer el cual podréis ver en Setiembre. Así que de momento avanzamos mejor que la semana que viene y eso me gusta. 

Sed Buenos ;)

jueves, 10 de agosto de 2017

LOG1.- Tres días sin blog y dos de lluvia

Llevo tres días sin publicar una entrada y ya tengo el mono. tres días en los cuales, en uno, hemos desembarcado todo el equipo y en los otros dos nos ha llovido como si no hubiera un mañana. Así que aun no hemos podido ir de "aventuras" ni grabar nada. 


Pero bueno, como os prometí, este es nuestro primer log y si que hemos sido mas activos en las redes sociales, sobretodo por instagram y twitter. También hemos podido ir adelantando algunos temas.  
  1. Jugando con un pequeño router que nos encontramos "abandonado" y repasando diferentes ataques a WPS
    1. https://www.instagram.com/p/BXf8Z-hhrP1/?taken-by=realstatex
    2. Paper para entender los ataques a WPS: https://infostatex.blogspot.com.es/2016/08/paper-brute-forcing-wps.html
  2. Como ayer aun llovía no pude hacer nada mas que leer. Pero es lectura de la buena y relacionada con la seguridad informática:
    1. https://www.instagram.com/p/BXlJfQShZIC/?taken-by=realstatex
  3. Lo único que me reconcome un poco es no haber podido trastear tanto con la PocketCHIP como me gustaría debido a la lluvia y además El Kentaro esta publicando una serie de entradas relacionadas con este micro ordenador y el hacking de ondas. Una pasada y adamas deja todo código en bash que crea para que podamos aprender.  
    1. El Kentaro en Medium: https://medium.com/@elkentaro/hackerchip-v-1-part-1-of-n-59804d27c245
Yo sigo de vacaciones intentando disfrutar de mi tiempo libre pero con la cabeza en este blog, supongo que después de tantas publicaciones uno ya siente la necesidad de publicar aunque sea una noticia.  Pero como ya os comenté, es de esto mismo de lo que quiero "escapar".

Sed Buenos ;) 

lunes, 7 de agosto de 2017

Vacaciones.- CyberPunk Summer, Logs y Tonto

Ya os lo deje entrever en la entrada en la que os presentábamos la [CyberPunk Summer 2017] pero mejor que quede claro. Siempre por vacaciones hago algo especial y esta es la locura de este año.

A partir de hoy hasta el 11 de septiembre solo publicare entradas relacionadas con este evento que nos hemos inventado para poder trastear con toda la tecnología que tenemos. Esto quiere decir que solo subiremos entradas cuando tengamos algo que valor para enseñaros y que estaremos mas activos por las redes sociales ([Twitter], [Youtube] e [Instagram]). 

A todas estas entradas "Randoms" que vamos a realizar durante este mes las vamos a llamar LOGs con un propósito de que sepáis que estemos vivos y como forma de cambiar un poco este blog.  La verdad es que nos gustaría acercarnos un poco mas a los lectores y a la comunidad. No quiero acabar convirtiéndolo en un RSS de noticias que podéis encontrarlas en vuestro twitter. Que os tenemos olvidados. 

Eso si, después de vacaciones y durante, intentaremos grabarlo todo en vídeo y aprender a editar correctamente para, en un futuro, podamos proporcionaros vídeos mas interesantes. 

Por otro lado respecto a Tonto, tengo que reconocer que me he quedado bloqueado a la hora de hacer que Linux detecte mi micrófono o el del portatil, no hay manera.  Así que en estas vacaciones quiero ir haciendo pruebas y me comprometo a sacar una nueva versión de cara a finales de septiembre. Así me siento mejor conmigo mismo y compenso las pocas entradas.   

Dicho esto nos vemos por las redes sociales que antes os he comentado y espero que cuando veáis los proyectos aportéis vuestras ideas que se que se os da de maravilla. 

Sed Buenos ;) 



domingo, 6 de agosto de 2017

Mi hora de código 22 .- Java y Codeacademy

Ya sabéis que estamos de mudanzas de vacaciones y no tenemos mucho tiempo, pero eso no quiere decir que no tengamos tiempo para seguir aprendiendo y traeros el vídeo de cada domingo.

Hoy volvemos con una sección que teníamos tan olvidada como a Tonto pero que poco a poco la iremos retomando. Se trata de Mi hora de Código y ahora empezamos con Java. 


Sed Buenos ;)

viernes, 4 de agosto de 2017

Vídeo.- Ransomware historia de una molesta amenaza

Dentro del recordatorio de "conceptos básicos" que estamos haciendo los jueves con la Infografía, hoy vamos a darle un repaso al ya famoso Ransomware a través del bueno de [Josep Albors] donde explica claramente de donde proviene este malware y algunos ejemplos de como este tipo de bicho consiguió meterse hasta la cocina de sus clientes. Muy recomendable.


Sed Buenos ;)

jueves, 3 de agosto de 2017

Infografia.- Conceptos básicos sobre el Malware Parte 2

Es jueves y toca infografia. Bueno, seguimos con conceptos básicos respecto al Malware y nos es para menos ya que, frente un incidente, si detectamos bien el tipo de bicho que tenemos le solucionaremos un poco la faena al pobre de IT que te atienda. 


Sed Buenos ;) 

miércoles, 2 de agosto de 2017

Vídeo.- Cyber Grand Challenge: The Analysis

Vale, es cierto, hoy no sabia que subir y es que estoy preparando ya el equipaje para las vacaciones y cosas chulas para el [CyberPunk Summer 2017] que esperamos que os guste un montón. Pero navegando entre mis redes sociales me he encontrado con esta CTF. Bueno, llamarla solo CTF se queda corto, tenéis que verlo vosotros mismos.  ¡Hasta tienen árbitros!


A que tenéis ganas de estar allí trasteando con cada uno de esos equipos. Yo si. 

Sed Buenos ;) 

martes, 1 de agosto de 2017

Python.- Entendiendo if __name__ == "__main__"

Hace mucho que juego con Python y si algo caracteriza este lenguaje de programación es la sencillez pero siempre me a parecido un poco absurdo que lo primero que no encontremos al leer cualquier programa bien escrito, sea lo siguiente:  if __name__ == "__main__"

La verdad es que cuando entiendes para que sirve es muy útil, pero contrasta muy fuerte con lo sencillo que es empezar a programar en este lenguaje. Así que hoy os voy a recomendar el vídeo práctico que explica muy bien para que sirve. 


Sed Buenos ;) 

lunes, 31 de julio de 2017

Slide.- Trasteando con armas inteligentes

Este fin de semana ya se han visto la gran mayoría de slides de las Defcon 25 y todas son super interesantes pero si una ponencia va sobre jugar con armas inteligentes pues suma puntos. Pues aquí la slides de como trastear con una pistola inteligente. La cual, viene a juego con un reloj que al entrar en contacto con la arma esta puede ser disparada. 


Pues la gente de la Defcon no defrauda y han podido replicar la comunicación entre la pistola y el reloj. Un experimento muy chulo que merece la pena ser leído. 

Muchas gracias, 

Un saludo. 

domingo, 30 de julio de 2017

HackThis Crypto 6 .- Esteganografía a lo Mr Robot

Domingo, vídeo y tranquilidad. Aun que este reto si que ha sido complicado. Si os acordáis de la serie de Mr Robot, Elliot escondía la información en archivos de audio de diferentes grupos. En este reto deberemos descifrar la información escondida dentro de un audio gracias a un análisis previo de su espectro.

A sido muy chulo y muy divertido esperamos que también os guste. 


Sed Buenos ;)

viernes, 28 de julio de 2017

OSCP Music.- Defcon XX

Creo que hace mucho ya os hable del recopilatorio de "música" que se publico en la Defcon XX. Pero sea como sea, hace mucho tiempo que le había perdido la pista a este soundtrack en la cual hay temas que me parecen sublimes y como últimamente estoy recopilando música que me permita concentrarme para el OSCP, pues toca recomendarla. 

Mi favorita es ytcracker Hacker War a ver si os gusta a vosotros también: 


Sed Buenos ;)

jueves, 27 de julio de 2017

Infografia.- Conceptos básicos sobre el Malware

Como os prometí el anterior jueves,  vamos ha hacer un repaso por los conceptos mas básicos de este mundo que nos mola tanto, a base de infografias. Así que hoy toca hacer un repaso a los conceptos básicos sobre el malware en general.


Sed Buenos ;)

miércoles, 26 de julio de 2017

GitHub.- Aprendiendo RegEX

La verdad es que aunque hago un montón de scripts relacionados con expresiones regulares poco tiempo he dedicado a "estudiar" o aprender sobre ellas. Por eso y ya que estoy recopilando información para el [Cyberpunk Summer 2017], hoy os voy a recomendar un repositorio mas.


Zeeshan Ahmed deja muy claro desde el primer momento que son las RegEx en su GitHub:
Una expresión regular es un patrón que se compara con una cadena de texto de izquierda a derecha. La palabra "expresión regular" se puede encontrar generalmente en su término abreviado como "regex" o "regexp". La expresión regular se utiliza para reemplazar un texto dentro de una cadena, validar la forma, extraer una subcadena de una cadena basada en una coincidencia de patrón y mucho más.

Enlace al repositorio:

martes, 25 de julio de 2017

Aircrack-ng/Hashcat.- Crack WPA/WPA2 Wi-Fi

Ya es verano y se que muchos de vosotros os iréis de vacaciones a sitios donde los baudios están algo difuminados. Así, por si queréis aprender de ataques wireless intentando romper algún cifrado WPA o WPA2 de algún router que tengáis por casa. 


Este tutorial del repositorio ilustra cómo romper las redes Wi-Fi que están protegidas mediante contraseñas débiles. No es nada nuevo, pero es suficiente información para probar la seguridad de tu propia red, aprender y jugar con ello que es divertido. 

Enlace al repositorio con la guía, los comandos y todos los documentación:

Sed Buenos ;) 

lunes, 24 de julio de 2017

ReconDog.- Reconócelos a todos

Muchas veces en la fase de reconocimiento fallamos al no tener la suficiente información y al menos a mi, no se me ocurre consultar el whois. Pues con esta herramienta escrita en Python nos permite desde consultar el whois, realizar un escaneo de puertos o detectar si la maquina es un Honeypot. 


Aunque como critica si leéis el código de la herramienta esta muy desordenado y la verdad es que necesita un poco de limpieza. Es muy espagueti code. 
No obstante funciona bien y con algún ajuste por mi parte me servirá para no olvidarme nada y mas ahora que quiero lanzarme de cabeza al OSCP. 

Si me animo subo el fork al GitHub pero no prometo nada. Mientras tanto os dejo con la fuente de la herramienta donde encima nos ayudan a instalar la herramienta.  
Sed Buenos ;) 

domingo, 23 de julio de 2017

HackThis Crypto 5 .- Miscelanea Cifrada

Hoy domingo, toca vídeo y ya que en toda la rama de crypto hemos visto diferentes tipos de cifrado fáciles de "romper". Hoy a Kazukun le toca jugar con todos estos cifrados para obtener la pass al próximo reto de HackThis. 

Esperamos que os guste:


Sed Buenos ;)

viernes, 21 de julio de 2017

OSCP.- Posiblemente despues de vacaciones.

Este verano aparte de reto que nos hemos marcado en [publicar vídeos disfrutando] de la tecnología, también quiero empezar a mirarme la certificación OSCP (Offensive Security Certified Professional) la cual tiene fama de ser difícil. 

Así que me voy a equipar con los consejos de mi buen amigo Snifer en la cual nos recomienda casi todo lo que debemos leer y hasta de donde podemos sacar VMs para practicar: 
Un poco de motivación en forma de vídeo:



Y canciones para pasar las 24hs practicando como se debe: 

Si, esta no deja de ser otra entrada para mi yo de mediados de agosto, pero creo que a vosotros también os puede servir y es que si no lo hago así al final me va a pillar el toro. 

Sed Buenos ;)

jueves, 20 de julio de 2017

Infografía.- ¿Qué es un troyano?

Hoy es jueves y toca infografía y creo que todas esta imágenes os gustan mas si son para repasar algún tipo de malware o ataque conocido. Así que a partir de hoy todos los jueves intentaremos recomendaros una infografia que nos permita repasar estos conceptos aunque sean un poco antiguas.

Este es un claro ejemplo de infografia del 2011 que explica muy bien que es un troyano aunque la he tenido recortar un poco ya que había información muy erronea. 


Sed Buenos ;)

miércoles, 19 de julio de 2017

CYBERPUNK SUMMER 2017 (0).- The Pocket CHIP

Este año se nos ha juntado un montón de tecnología de que que queremos disfrutar este verano. Así que durante el mes de agosto realizaremos una serie de vídeos llamados CYBERPUNK SUMMER jugando, modificando y en fin, disfrutando con la tecnología que para algo la tenemos. Además de servirnos para mejorar la calidad de los vídeos del canal de youtube y de ser una especie de master en edición de vídeo que ya nos hace falta. 

Contenido de esta serie: 
  • The Pocket CHIP
  • Moding para Pocket CHIP (Carcasa 3D, leds, etc)
  • War Driving with airodump-ng
  • The Drone
  • Emuladores
  • Hacking variado e improvisado. 
Así que, os dejo con el vídeo numero 0 donde os presentamos la [Pocket CHIP] un micro pc de 69$*(mas gastos de envío y aduanas) que como vais a ver tiene sus pros y sus contras. 


Sed Buenos ;)

martes, 18 de julio de 2017

Vídeo.- pancake, radare & ARM

La ingeniería inversa es algo que se me atraganta mucho y si alguien tiene algún truco que me pueda ir bien para aprender os lo agradecería mucho. También quiero aprender como funciona radare así que en cuanto veo un vídeo de Sergi ‘pancake’ Alvarez no puedo evitar verlo y recomendaroslo aunque esta vez no lo podáis ver desde el blog. 


Sed Buenos ;)

lunes, 17 de julio de 2017

mini-tor.- TOR fácil y con solo a 20kb.

Ya sabéis mi tremenda devoción por el software minimalista y si ademas lo juntas con la red TOR, me sobra tiempo para compartirlo y pensar como crear el mio propio (En perfecto Python Of course). 


Como su nombre indica mini-tor, es una prueba de concepto que nos permite abrir cualquier contenido o web .oninon a través de la red tor con comando muy simple.
  • mini-tor.exe "webalaquequierasacceder" 

Fácil, cómodo y para toda la familia. Ademas es una idea muy chula pera "tunearla", os dejo el enlace al GitHub.
Sed Buenos ;) 

domingo, 16 de julio de 2017

HackThis Crypto 3 - -- --- .-. ... . .-.-.

Hoy es domingo y toca vídeo. Así que, seguimos con los retos de Criptografia y hoy toca morse. Muchos no sabemos ni escribir SOS pero Kazukun nos muestra como podemos descifrar código morse en pocos pasos y con esto resolver el tercer reto de criptografia de HackThis.

 

Sed Buenos ;)

viernes, 14 de julio de 2017

[Vídeo].- How Tor Users Got Caught

Mi devoción por la Defcon vino a raíz [que me tragué todo el documental] que sacaron los organizadores de este congreso por su 20ª edición. Por eso siempre voy rapiñado vídeos de aquí y allí. Así que hoy me encanta recomendaros una ponencia donde se exponen varios casos de usuarios de red tor que fueron y de porqué fueron pillados al hacer maldades. 


Sed Buenos ;)

jueves, 13 de julio de 2017

Infografia.- Así se propaga el Ransomware

Nunca está de mas repasar los métodos que tiene este malware de moda para propagarse y que podemos hacer nosotros para pararlo o al menos para estar alerta para no caer en sus redes. Pues que mejor manera de hacerlo que con una infografia. 


Sed Buenos ;)

miércoles, 12 de julio de 2017

Winpayloads .- Python y la generación de Payloads.

Esta vuelve a ser una entrada para mi yo de aquí unas semanas cuando esté de vacaciones y pueda jugar con tranquilidad con mi [Pocket C.H.I.P]  este gadget corre sobre un debian al que le puedes instalar casi de todo.  Así que y como me gusta la seguridad informática, ¿Por que no probar herramientas como Winpayloads?. 

Winpaylods es una herramienta que genera payloads que utiliza el  meterpreter shellcode de metasploits, inyecta la  ip y puerto de los usuarios en el shellcode y escribe el archivo python que ejecuta el shellcode usando ctypes. Esto se cifra (AES) y se compila a un ejecutable de Windows utilizando pyinstaller.

Pero aunque al principio estos payloads eran indetectables, ya han subido algunos a virustotal y a día de hoy solo los detectan 8 marcas de antivirus. (Enlace sacado de su GitHub)
Muy chulo verdad, pues con un USB conectado al bicho mola mucho mas. Aquí tenéis un vídeo que muestra como funciona: 


Enlace a la herramienta: 

Muchas gracias,

Un saludo.

martes, 11 de julio de 2017

Python.- Remove Exif Data

Ya sabéis que los metadatos es algo de lo que [hemos hablado largo y tendido] y la verdad es que nunca me canso.  Así que cuando veo herramientas relacionadas con Exif no puedo evitar compartirlas.  


Remove Exif Data With Ease es una herramienta escrita en Python 2.7 y pasada por el [Py2exe] para crear un ejecutable para Windows (vamos un .exe). La cual es capaz de eliminar todos los metadatos de todas las fotos que tengamos en una carpeta creando un duplicado sin esta información y dejando la original. 

Enlace al GitHub: 

Sed Buenos ;) 

lunes, 10 de julio de 2017

VimGameCodeBreak.- Borrando código con estilo.

Seguro que habéis programado algo y que os han entrado ese picorcillo al notar que vuestro código no funcionaba. La verdad es que si esto pasa con un editor de código "amigable" imaginaros si estáis usando vim por eso johngrib se lo ha tomado por el lado ZEN y ha creado una copia del videojuego de Arkanoid que se ejecuta como un plugin de vim y al impactar contra una linea de código, esta desaparece. 



Simplemente brutal y grande a la vez. Me ha encantado. Aquí tenéis el enlace a su repositorio: 
Muchas gracias, 

Un saludo 

sábado, 8 de julio de 2017

Hobbytrucos.- Volatility (I)

Lo prometido es deuda y como ayer no hice entrada la cambiamos por el parón de los sábados aunque esta este programada . Bueno,  prometí compartir mis hobbytrucos para la CTF que tenia hoy (aunque haya quedado último) pero creo que será esta información os gustará y me ayudará a mejora.


Trabajar con registros en Volatility: 

  • Para ver las hives cacheadas, grupos lógicos de keys, subkeys, y valores en el registro.
    •  volatility -f random.dmp --profile=profile hivelist
      • Con este comando podremos ver donde empieza y donde acaba cada hive
    •  volatility -f random.dmp --profile=profile printkey -o iniciodeloffset  -K 'rutaenlosregistros'
      • Con este comando podremos "navegar entre las key y las subkeys de una hive en busca de los valores que nos interesen. 
Extraer un dmp de un proceso que nos interese de una imagen raw con Volatility:

  • Primero deberíamos ver el arbol de procesos del raw por si hubiera alguno que nos interesara:
    • volatility -f random.raw pslist --profile=profile pstree
  • Una vez hemos encontrado el proceso que nos interesa nos quedamos con el Process identificator (PID) y usamos el siguiente comando para guardar un .dmp en /root/ para luego jugar con el: 
    • volatility -f random.raw --profile=profile memdump -p 4092 -D /root/
Sed Buenos ;) 

jueves, 6 de julio de 2017

Infografia.- WannaCry VS Petya

Después de unos cuantos días después del segundo "ciber-ataque mundial" mucho se ha hablado de los parecidos con WannaCry pero hay algunos mitos que debemos aclarar. Para eso esta inforgrafia tan chachi sobre las diferencias entre Petya y WannaCry. Muy recomendable. 


Sed Buenos ;)

miércoles, 5 de julio de 2017

CTF.- Algunos Write Ups curiosos sobre Forensics (II)

Si hace unos días os recomendé algunos Write Ups en forma de blogs hoy me gustaría centrarme en vídeos. La verdad es que me he podido apuntar pocos hobbytrucos  así que no se si os lo compartiré o no, dependerá de si me son útiles el viernes. Pero, espero que con estos vídeos me quede claro donde he de empezar a mirar y como. 

Para empezar, aquí tenéis un truco muy chulo con imágenes donde una de ellas está oculta y no vale solo con la parte técnica si no que encima tienes que saber de aeropuertos:


Otro que nos muestra como extraer un archivo .avi de un pcap en Wireshark debido a una llamada por VoIP:


Y el último un amplio y muy recomendable repaso a Volatility: 


Sed Buenos ;) 

martes, 4 de julio de 2017

Python Loves Pentesters

Arrodillaos ante el poder de Python y ante su sencillez.  El no os hará llorar y os facilitará vuestros pentests. Bueno,  broma aparte del momento evangelizador, hoy me he encontrado con un recopilatorio de herramientas y librerías en/para Python que no defrauda para nada, si que están las mas famosas pero al estar divididas por "áreas" han puesto algunas librerías y herramientas que yo no conocía.


Así que me lo guardo para trastear con ellas en un futuro. Aquí tenéis el link: 
Muchas gracias, 

Un saludo.