31 jul 2014

Publicados los vídeos de las Jornadas #X1RedMasSegura 2014

Durante estos días, desde el colectivo X1RedMasSegura, del cual tenemos el orgullo de formar parte, estamos publicando los videos de las que fueron las segundas Jornadas X1RedMasSegura, celebradas el pasado mes de Mayo.

A continuación compartiremos con todos vosotros los vídeos de las jornadas para que podáis disfrutarlos tanto los que no pudisteis asistir, cómo los que queréis volver a verlas.

ACTO INAUGURAL DE LAS JORNADAS X1RedMasSegura
(Director de la ETSIT, Director General de la Guardia Civil, Representación de X1RedMasSegura)

  

DELITOS TELEMÁTICOS (Comandante Oscar de la Cruz)
  
LA CARA B DE INTERNET (Ángel Pablo Avilés)

SEGURIDAD EN WIFIS (Marc Rivero)
Cómo desaparecer de Internet en menos de 10 minutos (Trucos legales) (Pablo Burgueño)


Lo que pasa en las Vegas... y en Internet también (Israel Córdoba)


Protegiéndonos de las amenazas en Internet (Josep Albors)


SCAM: Cuandro los ladrones no van a la oficina (Lorenzo Martínez)


Ejecutando que es gerundio, por Longinos Recuero (@L0ngin0s)


Banca Online, por Daniel González (@Dani_wh0s) y Marta Barrio Marcos (@martrudix)


El Internet de las cosas, por Juan Luis G. Rambla (@sidertia)


Ciberguerra y ciberespionaje, por Pablo González (@pablogonzalezpe) y Juan Antonio Calles (@jantonioCalles)


Un pestillo a nuestra privacidad, por Chema Alonso (@chemaalonso)


La lógica en la Red, por Angel A. Núñez (@Seguridadjabali)


​Navega Seguro con Francesco Schettino, por Daniel Martínez (@dan1t0)


Un paseo por las nubes, por Juan Garrido (@tr1ana)

29 jul 2014

Estaremos en el Congreso SSI en Santiago: 8-9 Noviembre

El 8 y 9 de Noviembre de 2014 se celebra el Congreso SSI (Seguridad Sin Importancia) en el que me encontraré con muchos amigos del mundo de la informática. Si estás cerca de Galicia pásate por aquí a ver las divertidas charlas que tienen preparadas para ese fin de semana. 


Mi charla se denomina "¿Cómo llegar a ser un super... user?" y habla de los procedimientos de un equipo de auditoria ante algunas situaciones y de cómo se puede afrontar una auditoria interna en el mundo real y laboral. La verdad que hablando con los organizadores el evento promete, y están trabajando duro para que todo salga como Santiago de Compostela merece, una CON de lujo. 

Los ponentes confirmados se pueden visualizar en el sitio web del evento. Os dejo con la descripción del evento:
El Congreso SSI 2014 nace con el propósito de presentar la problemática existente relacionada con los Delitos Telemáticos, su trascendencia y aspectos legales. También explicar la importancia del Hacking ético como especialidad técnica para la solución de problemas de seguridad en el ámbito de la empresa. 
Un espacio donde la Seguridad Informática, las nuevas tecnologías y uso de Internet seguro serán la clave. Un punto de encuentro entre los profesionales de todos los sectores puedan aprender la importancia de la seguridad en sus empresas. 
A todo profesional que trabaje con datos sensibles , como pueden ser:
  • Directivos de Empresa.
  • Profesionales del Sector Jurídico
  • Policías
  • Detectives privados
  • Docentes
  • Profesionales relacionados con las nuevas tecnologías
  • Administraciones de ámbito internacional estatal y autonómico.
  • Periodistas, revistas y publicaciones del sector.

28 jul 2014

Hack and Beers: Madrid

Hoy podemos decir que habrá un Hack and Beers en Madrid. Tras la llamada de Miguel Ángel Arroyo vi que la filosofía de Hack and Beers debía llegar a Madrid. HB es un espacio donde cualquier persona a la que le guste la seguridad informática puede acudir para aprender, conocer, hacer networking y pasar un buen rato. La idea es sencilla, juntarse en un sitio de reunión dónde podamos asistir a un número de charlas de gente del sector, y todo esto acompañado de un fiel amigo, la cerveza. Por lo tanto, Miguel me pidió que fuera el organizador en Madrid de esta filosofía que tan bien está funcionando, en su análogo betabeers. Desafío aceptado.

En Córdoba llevan dos ediciones, las realizan cada 3-4 meses más o menos. La gente que organiza esto en Córdoba han visto del potencial y las ganas de la gente por participar de alguna manera este tipo de actos. Al final a todo el mundo le gusta estar en un entorno distendido donde poder aprender sobre algo que nos apasiona, la seguridad informática

Iremos informando sobre la fecha de la primera edición en Madrid y el sitio elegido. También queremos ponernos en contacto con posibles patrocinadores (que al menos nos de para la cerveza ;)). El formato es el siguiente: 
  • Charlas de 40-45 minutos
  • Coloquio final, para que la gente haga networking con asistentes, ponentes y organización.
  • Disfrutar de la cerveza, mientras se escucha una buena charla sobre seguridad informática. 
  • Los que se atrevan a seguir la fiesta después del evento... Estamos pensando que este evento que se lleva a cabo varias veces al año (3-4 Meses) sea los viernes con el fin de que tanto estudiantes y profesionales puedan disfrutar de horas de seguridad informática, con horas de... lo que nos gusta a los españoles, fiesta. 
Lo que si podéis tener claro es que  intentaré que los HB en Madrid sean dinámicos, divertidos, y que los ponentes os proporcionen conocimiento y diversión. De primeras no puedo contar mucho más, solo que haremos lo posible para que esto salga adelante, tal y como lo están consiguiendo en Córdoba. Un pequeño leak que os dejo: próximamente otras ciudades del territorio nacional dispondrán de su Hack and Beers. Os seguiremos contando... ;)

27 jul 2014

Informe Flu - 186


Como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

Martes 22 de Julio
Miércoles 23 de Julio
Jueves 24 de Julio
Viernes 25 de Julio

    Saludos!

    25 jul 2014

    Abierto el CFP para la #BugCON 2014

    Buenas a todos, en el post de hoy queríamos informaros de la apertura del Call For Papers para el congreso de seguridad BugCON 2014, que tendrá lugar los días 19, 20 y 21 de Noviembre en  la ciudad de México.

    Para quienes no lo conozcáis, se trata de uno de los foros internacionales de referencia en el mundo de la seguridad de la información, y que desde su nacimiento en el año 2008, atrae a un nutrido grupo de profesionales del hacking ético para presentar sus últimas investigaciones.



    BugCON acepta participaciones en español e inglés. El formato de conferencias es de 45 minutos para presentaciones y 10 minutos para preguntas y el de talleres es de 4/6/8 horas.

    Los temas sugeridos, pero no restrictivos son:
    • 0 days
    • Seguridad en software
    • Seguridad en aplicaciones Web
    • Seguridad en sistemas SCADA
    • Seguridad en redes inalámbricas
    • Seguridad en IPv6
    • Seguridad en virtualización
    • Seguridad en Bases de Datos
    • Ingeniería en reversa
    • Malware
    • Seguridad en dispositivos móviles
    • Phreaking
    • Hardware cracking
    • Criptografía y estenografía
    • Análisis forense en sistemas informáticos
    • Legislación informática
    • Gestión del riesgo
    • Video juegos y otros temas

    Para enviar vuestras propuestas podéis escribir un email a secretary[at]bugcon.org con el Subject “CFP BugCON 2014: [Titulo]“, el correo debe de contener la siguiente información:
    • Nombre o nickname del ponente
    • Biografía (Si incluyes una fotografía para el sitio Web te lo agradeceremos)
    • Perfil de LinkedIN, blog, publicaciones, CVEs, lo que nos sea útil para determinar quién eres
    • Título del taller o conferencia
    • Descripción
    • Requerimientos (Internet, proyector… una cerveza)
    • e-mail/sitio Web/redes sociales

    Los beneficios para los ponentes serán los siguientes:
    • Hospedaje para ponentes extranjeros
    • Acceso de por vida a BugCON
    • Reconocimiento impreso

    Contacto:
    • Propuestas: secretary[at]bugcon.org
    • Patrocinadores: charity[at]bugcon.org
    • Donaciones: charity[at]bugcon.org
    • Website: www.bugcon.org
    • Twitter: @BugCON
    • Facebook: facebook.com/BugC0N

    Animaros a participar en BugCON 2014 :)

    Saludos!

    24 jul 2014

    Herramientas forense para ser un buen CSI. Parte LII: Forense de emails

    En el post de hoy vamos a continuar con la cadena de forense en emails, destripando el contenido del email que os mostramos el otro día: http://www.flu-project.com/2014/07/herramientas-forense-para-ser-un-buen.html.

    Al analizar el código fuente de un email, hay que fijarse principalmente en las líneas que empiezan por la palabra: “Received”, comenzando por las que se encuentran en la parte inferior del email.

    La primera traza “Received:” será la que nos indica quién es el emisor del email, mientras que la última nos indicará la dirección del receptor.


    De esta manera y con un poco de paciencia al leer, es sencillo comprobar el recorrido que ha seguido un email para llegar desde el emisor al receptor.

    Sin embargo, habrá casos en los que el emisor ha falsificado, o al menos intentado, la dirección del remitente, para que parezca que era otra persona el emisor. Como ha ocurrido en el caso que os presentamos a continuación:


    Para un forense experimentado, esta cabecera no dejará lugar a dudas de que un usuario malintencionado ha intentado engañar al receptor del mensaje, ya que este supuesto correo de hotmail ha salido de un servidor diferente a los habituales de Microsoft.

    Por Internet existen multitud de servicios gratuitos que permiten a los usuarios enviar emails anonimizados. También son populares los sistemas de "envío de noticias a un amigo", que por una mala configuración de sus administradores permiten el envío de emails con la suplantación del remitente.

    Cuidado con los emails, no os den gato por liebre... :)

    Saludos!

    23 jul 2014

    Sudoers: Cambiando de identidad (Parte II de II)

    Continuamos con la segunda parte de "Cambiando de identidad". Ayer hablamos sobre el por qué es necesario utilizar sudoer en una organización, y como se puede entender es totalmente necesario tener una delegación de credenciales eficaz y eficiente. Por otro lado, los alias nos permites agrupar acciones, usuarios, entornos bajo el mismo nombre. Hay distintos tipos de alias como por ejemplo Host_Alias, User_Alias y Cmnd_Alias, los cuales son bastante intuitivos. 

    Por último, el elemento más importante ya que es el que realiza la concesión de identidad o no, es la ACL. Son las reglas que el administrador definirá para proporcionar la toma de una identidad a un usuario o no. La sintaxis es la siguiente <usuario/%grupo> <host> = [(<runAsUserList>:<runAsGroupList>)] <comando1>,...,<comandoN>.
    Lo que se indica en estas líneas es que el root puede ejecutar bajo cualquier identidad cualquier acción, mientras que el usuario pablo puede ejecutar tomando la identidad de root, ya que no se especifica entre paréntesis ni usuarios ni grupos, el comando date y ninguna acción más.

    El comando sudo dispone de unos parámetros que son interesantes para aprovechar su potencial. A continuación se presenta un resumen:
    • -u. Indicará a sudo que identidad se quiere tomar, si se tiene configurado en el archivo que se puede tener. Si no se especifica el parámetro, se intentará ejecutar la acción con la identidad de root por defecto.
    • -k. Este parámetro invalida una sesión anterior de sudo.
    • -l. Informa al usuario de sus privilegios como sudoer.
    Ejemplo final del archivo

    En el siguiente ejemplo final de archivo de sudoers se configura dos usuarios bajo el alias TECNICOS y otro usuario será el administrador y pertenecerá al grupo de administradores. Además, se configura bajo un alias los comandos que los técnicos podrán utilizar. Se puede entender que los técnicos sólo podrán realizar ciertas acciones bajo la identidad del administrador, mientras que éste podrá ejecutar cualquier acción.
    Como conclusión añadir que la delegación de privilegios en ciertas acciones a través de sudo permite obtener una capa de seguridad y de control que no dispone a través de la delegación de credenciales genérica. Sudo no deja de ser un software el cual tiene sus versiones y puede tener implementados fallos explotables, por ejemplo últimamente se ha conocido alguno grave que permitía la escalada de privilegios en el sistema, pero manteniendo sudo actualizado la delegación de identidades por acciones es altamente segura.

    22 jul 2014

    Sudoers: Cambiando de identidad (Parte I de II)

    En un entorno típico de empresa con diversos servidores y máquinas, donde dichos entornos son gestionados por un alto número de operadores, puede llegar a ser confuso, complejo y sobretodo inseguro el proporcionar un acceso total a una máquina. En el instante que un administrador proporciona una credencial de root a un grupo de operadores encargados de llevar a cabo la administración de ciertas máquinas, se está abriendo una brecha de seguridad importante en la empresa ya que dicha autorización pasará por ciertas máquinas y por ciertos usuarios, perdiendo el control sobre quién posee realmente dicha credencial.

    Hoy en día es muy factible disponer en los servidores de cualquier entorno, producción, desarrollo, pre-producción, etcétera, un sistema de delegación de identidad y privilegios, el cual proporciona un acceso parcial o completo a las máquinas tomando las identidades de otros usuarios, siempre y cuando el administrador así lo haya configurado. Este sistema es denominado sudo o Super User Do.

    Este sistema tiene como principal funcionalidad proporcionar a un usuario la posibilidad de realizar tareas en nombre de otro usuario, es decir, con los privilegios de éste último. Es importante diferenciar que un usuario que puede utilizar sudo, no tiene porqué ser para utilizar o tomar la identidad del root. En otras palabras, el usuario A, siempre y cuando así esté configurado, podría tomar la identidad del usuario B, y que éste no sea el usuario root. El objetivo de sudo es que el usuario realice solo las acciones que necesite con la identidad de otro usuario, que será el que realmente tenga los privilegios para hacerlo. Con esta solución estamos minimizando el impacto de delegar una credencial con acceso total a la máquina.

    Generalmente, un usuario que comienza a utilizar sudo no configura el fichero dónde se almacenan las directivas y políticas, con todo el potencial que sudo pone al alcance del administrador. En estas directivas se especifican que acciones puede llevar a cabo cada usuario que pertenezca a los sudoers. Una buena práctica será utilizar la técnica como restrictivo por omisión, es decir, denegar el uso del cambio de identidad salvo a aquellos usuarios que lo necesiten. Además, cada usuario que necesite utilizar sudo, deberá disponer específicamente en el fichero de configuración las acciones permitidas, y no más que las que explícitamente se indiquen en dicho fichero.

    Configuración de sudoers

    El fichero para la configuración de esta característica de seguridad se encuentra en la ruta /etc/sudoers. Una propiedad fundamental del fichero es que agrupa secciones que permiten al administrador una mejor configuración. Para acceder al archivo se debe utilizar el comando visudo, con el que bloquea el archivo evitando que otro usuario en paralelo pudiera editarlo. Además, cuando se utiliza este comando, una vez finalizada la edición se comprueban errores sintácticos en la manipulación del fichero sudoers y de esta manera evitar que la aplicación quede inestable.

    Hay elementos de interés dentro del archivo de configuración de sudoers como es la cláusula opciones (Defaults). Estas opciones sirven para modificar el comportamiento de sudo. El valor de dichas opciones son booleano, valores numéricos o strings. Se pueden asignar a nivel global, es decir, a todos los usuarios que se encuentren especificados como sudoers o a nivel particular, un usuario en concreto. A continuación se muestra un pequeño ejemplo para simplificar su comprensión.


    Se puede diferenciar las opciones globales y las opciones particulares. En la parte global se especifica  un timeout para introducir la password de un minuto, cinco minutos de validez de sesión hasta que se vuelva a solicitar la contraseña en una nueva acción de sudo y dos intentos para introducir correctamente la contraseña. En el caso del usuario particular se indica que si falla en la autenticación se mostrará por pantalla una serie de frases “curiosas”. 

    En la siguiente parte concluiremos el fichero y mostraremos un ejemplo global de la configuración del fichero. 

    20 jul 2014

    Informe Flu - 185


    Como cada domingo, os dejamos con nuestros “Enlaces de la semana”. Esta semana ha sido intensa en Flu Project: 

    Martes 15 de Julio
    Miércoles 16 de Julio
    Jueves 17 de Julio
    • Más forense, en la cadena interminable (enunciando a la historia interminable). Esta vez vamos a por la LI. La gente le pide a Juanan, recopilatorio en PDF ya! ;)
    Viernes 18 de Julio
      Sábado  19 de Julio
      • Scraper el script de Meterpreter que lo recoge todo al entrar en una máquina comprometida, ¿y tú que utilizas? 
      Saludos!

      19 jul 2014

      Scraper: El recogelotodo de Meterpreter

      El script scraper perteneciente al payload Meterpreter permite realizar una recogida de información con partes sensibles de la estructura de un sistema operativo Windows. Scraper se encarga de recolectar información básica del equipo como son los usuarios, la información que proporciona el comando systeminfo, enumerar los recursos compartidos de la máquina, volcado de usuarios y hashes de la máquina, conexiones activas y estadísticas de éstas, variables de entorno, grupos, servicios del sistema, etcétera. 

      Este script es interesante de lanzar cuando una máquina es comprometida, ya que nos permite conocer una gran cantidad de datos desde un principio, sin necesidad de ir recopilándola poco a poco. Lo que realmente diferencia a scraper de otros scripts es la recogida y descarga de partes o árboles del registro. Por ejemplo, scraper realiza una exportación en la máquina vulnerada de HKCU, el árbol del registro de Current User, para después descargarlo automáticamente a la máquina del atacante.


      Scraper es capaz de llevar el mismo proceso para HKLM, HKCC, HKCR y HKU. Los ficheros se obtienen con extensión .reg. Es realmente interesante, porque tras su posterior análisis, podemos llegar a conclusiones de lo que hay en la máquina y, a priori, no podemos ver. 

      ¿Dónde se almacenan los archivos que automáticamente genera scraper? La ruta por defecto es $HOME/.msf4/logs/scripts/scraper/<dirección IP>. En esta ruta se puede visualizar una serie de archivos con nombres identificativos de la información recogida por scraper. 

      Se recomienda que utilicéis scraper al comprometer una máquina con la ejecución del payload Meterpreter. 


      18 jul 2014

      Recopilación de herramientas de seguridad informática

      Buenas a todos, en el post de hoy hemos querido compartir con vosotros una nueva versión de la lista de herramientas de seguridad que mantenemos desde Flu Project, con una serie de nuevas herramientas y soluciones que Silvia nos ha remitido por email (¡muchas gracias Silvia!).

      Footprinting y Fingerprinting: búsqueda de información 
      1. Anubis (Web oficial: http://flu-project.blogspot.com.es/p/herramientas-de-flu-project.html)
      2. Maltego (Web oficial: http://www.paterva.com/web5/)
      3. Nslookup (Información: http://es.wikipedia.org/wiki/Nslookup)
      4. Dig (Información: http://en.wikipedia.org/wiki/Dig_%28Command%29)
      5. Visualroute (Programa: http://visualroute.visualware.com/)
      6. Whois (Programa: http://www.whois.net/)
      7. Nsauditor (Web oficial: http://www.nsauditor.com/)
      8. Foca (Programa: http://elevenpaths.com/lab_foca.html)
      9. Httprint (Web oficial: http://www.net-square.com/httprint/)
      10. Ldap Browser (Programa: http://www.ldapbrowser.com/)
      11. Archieve.org (Web oficial: www.archieve.org)
      12. Yougetsignal (Web oficial: www.yougetsignal.com)
      13. Netcraft.com (Web oficial: www.netcraft.com)
      14. Dnsstuff (Web oficial: www.dnsstuff.com)
      15. Wfuzz (Información y programa: http://www.edge-security.com/wfuzz.php)
      16. Nmap (Programa: http://nmap.org/download.html)
      17. Zenmap (Interfaz gráfica de Nmap http://nmap.org/zenmap/)
      18. Shodan (Información y servicio: http://www.shodanhq.com/)
      19. Unicorn Scan (Información y programa: http://www.unicornscan.org/)
      20. Satori

      Aplicaciones para descargar webs 
      1. HTTrack (http://www.httrack.com/)
      2. FileStream Web Boomerang (http://www.filestream.com/webboomerang/)
      3. Website Ripper Copier (http://www.tensons.com/products/websiterippercopier/)

      Escáneres de vulnerabilidades
      1. GFI (Web oficial: http://www.gfi.com/languard/)
      2. MBSA (Web oficial: http://technet.microsoft.com/es-es/security/cc184924.aspx)
      3. SSS (Programa: http://www.safety-lab.com/en/products/securityscanner.htm)
      4. WIKTO (Programa: http://www.baxware.com/wikto.htm)
      5. ACUNETIX (Web oficial: http://www.acunetix.com/)
      6. NESSUS (Web oficial: http://www.nessus.org/nessus/)
      7. OpenVAS (Escaner de vulnerabilidades libre derivado de Nessus: http://www.openvas.org/)
      8. RETINA (Información y programa: http://www.global-tools.com/retina.htm)
      9. WEBCRUISER (Información y programa: http://sec4app.com) (Windows)
      10. NIKTO (Información y programa: http://cirt.net/nikto2)
      11. FLUNYMOUS (Escáner de vulnerabilidades para Wordpress y Moodle: http://www.flu-project.com/downloadflu/flunym0us)
      12. WP-SCAN (Información y programa: http://code.google.com/p/wpscan/)
      13. PSI Secunia (http://secunia.com/products/consumer/psi/sys_req/)

      Exploits 
      1. Metasploit (Web oficial:http://www.metasploit.com/)
      2. WinAUTOPWN (Programa: http://24.138.163.182/quaker/v2/w/winAUTOPWN_2.5.RAR)
      3. Exploit-DB [Base de datos de exploits] (http://www.exploit-db.com/)

      Malware 
      1. FLU - (Troyano Open Source): (http://www.flu-project.com)
      2. Hacker defender (Tutorial (rootkit): http://foro.elhacker.net/hacking_avanzado...html)
      3. Netcat (Tutorial: http://foro.elhacker.net/tutoriales...html)
      4. Crypcat (Programa: http://sourceforge.net/projects/cryptcat/)
      5. Rootkit Revealer (Programa: http://sysinternals-rootkitrevealer.softonic.com/)
      6. AVG AntiRootkit 1.0.0.13 (Programa: http://www.grisoft.cz/79461)
      7. Ice Sword (Programa: http://icesword.softonic.com/)
      8. Fu.exe (Rootkit: http://www.wisedatasecurity.com/herramientas/FU_Rootkit.zip)
      9. Ikklogger 0.1 (Keylogger http://foro.elhacker.net/....html)
      10. File Mon (Programa: http://technet.microsoft.com/es-es/sysinternals/bb896642.aspx)
      11. Kgb Spy (Programa beta (troyano): http://kgb-spy-keylogger.softonic.com/)
      12. Subseven (Troyano: http://www.vsantivirus.com/sub722.htm)

      Distribuciones de Linux orientas a auditoría 
      1. Wifislax (Página oficial: www.wifislax.com)
      2. Wifiway (Página oficial: www.wifiway.org)
      3. Backtrack (Página oficial: www.backtrack-linux.org)
      4. Samurai (Página oficial: http://sourceforge.net/projects/samurai/)
      5. Helix (Página oficial: http://www.e-fense.com/h3-enterprise.php)
      6. Caine (Página oficial: http://www.caine-live.net/)
      7. Bugtraq (Página oficial: http://www.bugtraq-team.com)
      8. Kali Linux (Página oficial: http://www.kali.org)

      Sniffers
      1. Cain (Página oficial: http://www.oxid.it)
      2. Wireshark (Página oficial: http://www.wireshark.org)
      3. Ettercap (Sustituto de Cain para Linux: http://ettercap.sourceforge.net)
      4. Tshark (Sniffer en modo consola del proyecto Wireshark: http://www.wireshark.org/docs/man-pages/tshark.html)
      5. Evil Foca http://elevenpaths.com/lab_evil_foca.html
      6. NetworkMiner http://www.netresec.com/?page=NetworkMiner

      Ingeniería social
      1. SET (http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29)

      Ofuscadores de código
      1. Eazfuscator
      2. Salamander .Net Protector
      3. Dotfuscator Community Edition
      4. Smartassembly
      5. Reactor de .NET

      Analizadores de vulnerabilidades en código fuente 
      1. FindBugs
      2. Lapse
      3. PMD

      IT Security Related 
      1. Open Source Vulnerability Database Search
      2. US Homeland Security Threat
      3. Best Security Tips

      Monitorización/correlación de eventos 
      1. Nagios
      2. Zabbix

      Cuadros de mando
      1. Babel

      WiFi

      1. Liberar a Wifi (Descifrador de claves WiFi para Android)
      2. Acrylic_WiFi
      3. JavaCalcularWlan
      Firewalls 
      1. FluBlocker (WAF para IIS7 o superior)

      Sistemas de Cibervigilancia
      1. Maltego
      2. ZINK-IT (http://www.zinksecurity.com/zinkit.php)

      Integridad de archivos 
      1. OSIRIS
      2. Pwdump7 (http://www.tarasco.org/security/pwdump_7/)
      3. Samdump
      4. l0phtcrack (http://www.l0phtcrack.com/)
      5. Findmyhash (https://code.google.com/p/findmyhash/downloads/list)
      6. WCE-Windows Credentials Editor (http://www.ampliasecurity.com/research/wcefaq.html)
      7. Mimikatz (http://blog.gentilkiwi.com/mimikatz)
      8. OphtCrack
      9. Integrigy (http://www.integrigy.com/security-resources/downloads/lsnrcheck-tool)
      10. Minasi (http://www.minasi.com/apps/)
      11. Setdllcharacteristics (http://blog.didierstevens.com/2010/10/17/setdllcharacteristics/)

      Ingeniería inversa
      1. Olly Dbg (Programa: http://www.ollydbg.de/download.htm)
      2. Radare (Programa: http://radare.org/y/)

      Detectores de Man in the Middle
      1. Marmita
      2. XARP (Web: http://www.chrismc.de/development/xarp/)

      Metadatos
      1. Exiftool

      Criptografía
      1. TrueCrypt
      2. Bitlocker
      3. File Checksum Integrity Verifier-FCIV (http://www.microsoft.com/en-us/download/details.aspx?id=11533)
      4. Sophos (http://www.sophos.com/es-es/products/free-tools.aspx)

      17 jul 2014

      Herramientas forense para ser un buen CSI. Parte LI: Forense de emails

      Buenas a todos, en el post de hoy continuaremos la cadena de posts sobre herramientas forense para hablaros sobre los procesos de análisis pericial de correos electrónicos.

      Lo primero que debemos saber antes de analizar un email es que su formato viene establecido en una RFC, en concreto en la RFC 822. En ella se define que un email debe estar formado por los siguientes componentes:

      Cabecera (Header)
      • Date: Fecha y hora del mensaje.
      • From: Quién lo envía.
      • To: Destinatario/s.
      • Subject: Asunto.
      • Cc (copia de carbón): Destinatarios en copia. 
      • Cco (copia de carbón oculta). Destinatarios ocultos.
      Cuerpo (Body)
      • Mensaje en texto plano o HTML
      Archivos adjuntos (Attachments)

      Como veis, un correo electrónico no es más que una página web, con algunas peculiaridades. Es decir, es un software, y como tal debe ser tratado.

      Si queremos ir a juicio por un tema de injurias, despido improcedente, etc. presentando el email impreso en papel, vamos por el mal camino. Un correo electrónico impreso no ofrece garantía como prueba porque es fácilmente alterable con herramientas de retoque fotográfico. Ni aunque vayamos a un notario con el correo impreso nos la darían como prueba válida.

      Para poder probar que el correo es verdadero es necesario realizar un análisis forense, como el que realizaríamos a un disco duro, o a un software.

      Dentro de la distinta información que podríamos recuperar de un email, lo más habitual es recolectar datos sobre quién envió el email y si el remitente fue suplantado, la dirección a donde fue enviado, por que sitios pasó, así como incoherencias de fechas y horas, servidores, etc. que puedan haber sido alterados.

      Si abrimos el código fuente de un email nos encontraremos con una serie de campos que pasamos a describir a continuación:

      Return-Path: 
      Dirección de respuesta
      Resent-from:
      Mensaje reenviado por el usuario especificado.
      Resent-to:
      Mensaje reenviado al usuario especificado
      Resent-date:
      Fecha y hora de reenvío del mensaje.
      Received:
      Cada vez que el mensaje pasa por un servidor, aparece este campo de datos, especificándose el nombre del servidor, su IP, el programa de correo utilizado, y la fecha y la hora en que se recibió en el servidor
      Message-Id:
      Nº de identificación del mensaje. Se trata de un número único, que lo distingue de cualquier otro mensaje enviado por la red
      Date:
      Fecha y hora de envío del mensaje
      From:
      Remitente original del mensaje
      X-Originating-IP  (Received)
      IP de quien envía el mensaje
      Subject:
      Asunto del mensaje
      To:
      Destinatario del mensaje

      Vamos a verlo con un ejemplo real:


      • ROJO: El email en sí.
      • MORADO: ID del mensaje que da el proveedor.
      • VERDE: Saltos que ha ido dando el correo desde que salió del equipo del emisor hasta el equipo del receptor. 
      • AZUL: Direcciones IP. El primer received y el último (siempre empezando por abajo) apuntan al servidor del emisor y del destinatario del mensaje.
      Y aquí lo dejamos por hoy, en el próximo post seguiremos hablando del análisis forense en emails.

      Saludos!

      16 jul 2014

      Libros de 0xWord en los cursos de verano de Zink Security

      Los asistentes a los cursos del mes de Julio de Zink Security podrán disponer de los libros de 0xWord a un precio especial.

      Los alumnos del curso de Introducción a la Auditoría Informática tendrán la oportunidad de adquirir con la matrícula del curso, el nuevo libro "Ethical Hacking: Teoría y práctica para la realización de un pentesting". 

      Los alumnos del curso de Fortificación en entornos Windows podrán obtener el libro "Máxima seguridad en entornos Windows" de Sergio de los Santos. 

      Y los alumnos del curso de Metasploit Express podrán obtener el libro "Metasploit para pentesters".

      Los cursos tiene un precio 110€ + IVA incluyendo la compra del libro, o de 95€ + IVA sin el libro. En caso de adquirir el curso con el libro, la empresa Zink Security se hará cargo de los gastos de envío de manera gratuita, siempre y cuando el alumno se encuentre en España. 

      Queríamos aprovechar el post para recordaros el temario de las formaciones y su formato. El formato de las formaciones de verano es Online, para que cualquier persona independientemente de dónde se encuentre pueda acudir mediante hangout. La duración de los cursos es de 8 horas, divididas en dos días, en horario de 16.00h a 20.00h (España). 

      A continuación os dejamos toda la información sobre cada una de las formaciones:

      Introducción a la Auditoría Informática (8 horas): 24 y 25 de Julio de 2014 (16:00h-20:00h)
      • - Conceptos
      • - Listas de seguridad
      • - Servicios y objetivos
        • - Caja blanca
        • - Caja negra
        • - Caja gris
        • - Test de intrusión
      • Auditoría de seguridad de red: Vulnerabilidades y exploiting en sistemas
        • - Expedientes de seguridad
        • - Exploit. Qué es
        • - Scanner de vulnerabilidades
        • - Ataques de exploits
        • - Metasploit Framework
        • - Buenas prácticas para la protección de los sistemas
        • - Ataques en redes de datos
      • Auditoría de seguridad de sistemas: Más vulnerabilidades
        • - Pass The Hash
        • - Pivoting
        • - Procedimientos para obtención del primer dato de interés
        • - Herramientas para actuar

      Fortificación en entornos Windows (8 horas): 28 y 29 de Julio de 2014 (16:00h-20:00h)
      • - Introducción
        • - Introduccion a la seguridad en Windows
        • - Presente y futuro
      • - Usuarios y perfiles
        • - Usuarios
        • - Perfiles
        • - El arranque de Windows
        • - UAC
        • - Contraseñas y hashes
        • - Pass the hash
        • - Ataques a contraseñas
      • - El Firewall de Windows
        • - Creacion de reglas
        • - Protocolos y puertos
        • - Subredes
        • - Usuarios
        • - Equipos
        • - Software
      • - Seguridad contra el código malicioso
        • - DEP
        • - ASLR
        • - Directivas
        • - AppLocker
        • - MIC y los niveles de integridad
        • - UIPI
      • - Hardening
        • - Fortificacon del navegador
        • - Actualizaciones
        • - Latch (11Paths)
        •        - For Windows Personal Edition / Enterprise Edition 
        •        - Event Monitor
        • - Cifrado
          • - EFS
          • - Bitlocker
          • - Comunicaciones
          • - VPNs e IPSec
        • - Backup
          • - Copias de seguridad en Windows
        • - Auditoia de eventos
          • - Introduccon a la Auditoria de eventos en Windows
          • - Anticipacion y analisis de incidentes

        Metasploit Express (8 horas): 30 y 31 de Julio de 2014 (16:00h-20:00h)
        • - Introducción
          • - Fases del test
          • - Arquitectura Metasploit
          • - Módulos
          • - Adición componentes
          • - Comandos básicos
        • - Exploiting & Payloads
          • - Tipos de payloads
          • - Intrusión sin interacción
          • - Intrusión con interacción
          • - Prácticas
        • - Post-Explotación
          • - Funcionalidades y Meterpreter
          • - Pass the hash
          • - Persistencia
          • - Funcionalidades útiles en un pentesting
        • - Herramientas del framework
          • - Msfpayload
          • - Msfcli
          • - Evasión de AVs
        Información y reserva
        Podrá obtener más información y efectuar la reserva correspondiente a través de la siguiente dirección de correo electrónico: info@zinksecurity.com o bien llamando al siguiente número de teléfono:
        • Zink Security: 91 014 95 07
        Aspectos clave
        • Duración de cada formación: 8 horas distribuidas en 2 jornadas
        • Horario: 16:00h a 20:00h.
        • Modalidad: Online (Hangout)
        • Precio: 95€ (sin libro) o 110€ (con libro) + IVA (21%). Descuento del 10% para estudiantes universitarios. Descuento especial para grupos de más de 3 personas (consultar).
        • Oferta especial: Como oferta de lanzamiento, todos los asistentes a cualquiera de los "Zink Security Labs" recibirán un descuento equivalente al precio del curso en la matricula para la Formación en Ciberseguridad de la Información (FCSI). Los descuentos no serán acumulables.
        • Público objetivo: Administradores de TI, desarrolladores, consultores, auditores, analistas, estudiantes, miembros de fuerzas y cuerpos de seguridad, etc.