30 nov 2014

Informe Flu - 203


Como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

Lunes 24 de Noviembre
Martes 25 de Noviembre
Miércoles 26 de Noviembre
Saludos!

    27 nov 2014

    Wappalyzer: fingerprint de botón gordo


    Buenas a todos, en el post de hoy me gustaría hablaros de la herramienta Wappalyzer, un interesante plugin para diferentes navegadores web que os permitirá visualizar de una manera rápida los sistemas operativos, servidores web, versiones, etc. de las aplicaciones web que estéis auditando.

    Desde el punto de vista de auditoría es interesante conocer las versiones de todas las aplicaciones, librerías y servidores que se estén utilizando, con el fin de localizar posibles vulnerabilidades que podamos explotar.

    Una vez instalado el plugin, os aparecerán en la zona derecha de la URL una serie de iconos que representarán todos las aplicaciones requeridas por el aplicativo para funcionar:


    Fácil, sencillo y.... :)

    Cómo veis, un plugin sencillo y muy útil en auditoría,

    Saludos!

    26 nov 2014

    Cybercamp: Taller + Ponencia = Flu Project

    Hoy nos toca hablar del Cybercamp y es que estamos a apenas semana y media de que la locura comience. Talleres, charlas, rincón de la familia, networking, gente, gente y más gente. Se habla ya de que hay más de 1000 personas registradas, y que a pesar de no disponer del puente para salir a disfrutar de la vida, al menos la gente lo pasará bien rodeada de hacking, developers, familias... Las ganas de Juan Antonio y yo aumentan. En esta ocasión Juanan se atreve a dar el taller de Metasploit conmigo, lo cual me llena de orgullo. 

    El taller tendrá lugar el Sábado 6 de Diciembre en horario de 16.00 a 19.00, esto es algo bueno porque ese día celebramos la tercera cena de Navidad de Flu Project (el próximo 12 de Diciembre cumplimos 4 años!) Nuestra idea es impartir el taller de 3 horas y poder hacer un Lab On Fire! Es decir, soltar un poco de teoría base y lanzarnos de cabeza  a realizar demos y prácticas que la gente pueda seguir. Nuestra idea es que el que quiera lleve su equipo con lo necesario para seguir las demos, aunque el enfoque puede estar más orientado a Master Class en función del número de asistente, por lo que puede que solo quieras asistir para tomar notas y practicar en casa. A continuación podéis ver el temario de lo que veremos:
    • Metasploit Framework
      • What is?
      • Arquitectura
      • Módulos
      • Adición de módulos
      • Entorno de usuario y automatización
    • Metasploit as a User
      • Interfaces & Comandos básicos
    • Metasploit as a Toy
      • Auxiliary
      • Payloads
      • Exploits 
    • Ataques
      • Directo
      • Client-Side
      • More more more!
    • Meterpreter: Powerful!
      • Comandos básicos
    • Metasploit as a Develop3r
      • Ruby and... surprise!
    También tengo la enorme suerte de poder participar en el evento con una ponencia. En este caso he decidido mostrar un caso, el cual tiene parte real y parte ficticia. He decidido cambiar el enfoque y contar una historia con un enfoque totalmente práctico y técnico. El título de la ponencia es Wargames in your Office: Historia de un soborno. La charla será el Sábado 6 de Diciembre a las 12.00

    Vengas a lo que vengas estamos seguros que lo pasarás bien y aprenderás muchas cosas, anímate y apúntate al Cybercamp. Os esperamos.

    24 nov 2014

    Tercer reto de la Halloween Hacking Class del #FCSI


    Buenas a todos, el pasado 31 de Octubre, noche de Halloween, celebramos un evento con nuestros alumnos del Master en Ciberseguridad de la Información, con tres temáticas relacionadas con la CiberSeguridad de la Información:


    Malware, ataque a infraestructuras internas desde sistemas externos y esteganografía. Por cada una de las temáticas se ofrecieron una serie de retos a resolver por los asistentes, con numerosos premios para los ganadores.

    Como muchos de vosotros nos habéis pedido si podríamos publicar alguno de estos retos, aunque ya no tengáis premio :), os dejamos a continuación la prueba del tercer reto sobre estenografía en la que había ocultos dos mensajes, con dos premios.


    Podéis descargar el resto desde el siguiente link:
    ¡Disfrutadlo!

    23 nov 2014

    Informe Flu - 202


    Como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

    Lunes 17 de Noviembre
    • El pasado lunes os hablamos sobre la realización de informes, el proceso quizás menos ameno de una auditoría de seguridad, pero el más importante ya que será la única parte que pueda ver el cliente y donde tendremos que demostrar el éxito del proyecto: Informe: Recomendaciones (Parte I)
    Martes 18de Noviembre
    Miércoles 19 de Noviembre
    Jueves 20 de Noviembre
    Saludos!

      20 nov 2014

      Abierta la inscripción para el IV ESET Security Forum


      ESET España abre las inscripciones para la asistencia al IV ESET Security Forum, un evento sin carácter comercial en el que se reúnen los mejores profesionales de seguridad informática para hablar sobre los temas más candentes del momento. Esta cuarta edición se celebrará el próximo 26 de noviembre, a partir de las 19,00 horas, en el Espacio Fábula (Avda. Pablo Iglesias esq. Avda. Islas Filipinas, dentro del Campo de Golf de Canal de Isabel II. Madrid). El evento tiene formato de mesa redonda, y se divide en dos partes.
      Tras el evento, se hará entrega de los Premios a los Héroes Digitales, y al final habrá una sesión de networking entre los asistentes con un cocktail-cena. La asistencia es totalmente gratuita, pero dado que el aforo es limitado, es necesario registrarse en la web del evento.

      Además, el evento podrá seguirse en streaming a través del Canal oficial de YouTube de ESET España y comentarlo o preguntar a través de Twitter con el hashtag #ESETSecForum.

      La temática que se debatirá en este IV ESET Security Forum versará sobre los siguientes temas:
      • Seguridad corporativa: la importancia del cifrado de la información. Retos actuales, soluciones y recomendaciones. Pablo Fernández Burgueño, de Abanlex Abogados, nos trae además datos de un reciente y polémico estudio que ha llevado a cabo en este ámbito.
      • Peligros para la integridad de la información
      • Seguridad de menores: retos actuales, soluciones y recomendaciones
      • Seguridad y privacidad: ¿dónde están los límites?
      Para ello, contaremos con la asistencia de los siguientes ponentes que ya han confirmado su asistencia:
      • Marc Rivero, responsable eCrime en Barcelona Digital y profesor universitario.
      • Juan Antonio Calles, CEO de Zink Security, Co-fundador de Flu Project, miembro de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica (ANCITE) y ponente habitual en diversos foros y congresos de seguridad, entre los que se encuentran No cON Name, RootedCon, HomeSec y SID.
      • Pablo Fernández Burgueño, abogado de ciberseguridad y privacidad en la Red. Socio cofundador de Abanlex, bufete de Derecho Tecnológico
      • Angel-Pablo Avilés, el editor de “El Blog de Angelucho” que nace como contribución a la información, educación y concienciación sobre seguridad básica en la red. Componente del Grupo de Delitos Telemáticos de la Guardia Civil.
      • Pedro Candel (s4ur0n), profesional docente del equipo de CyberSOC Academy de Deloitte y co-organizador del Congreso Navaja Negra.
      • Roberto García, administrador de sistemas y bloguer de seguridad en 1Gb de Información.
      • Daniel García (crOhn), auditor de seguridad senior, pentester e investigador. Co-organizador del Congreso Navaja Negra.
      • Deepak Daswani, responsable de investigación en ciberseguridad en INCIBE (antes Inteco).
      • Marcos García Gómez, subdirector, Director de Operaciones en INCIBE (antes Inteco).
      • Josep Albors, director de comunicación y responsable del laboratorio de ESET España. Profesional con más de 8 años de experiencia en el mundo de la seguridad informática, es también editor en el blog de ESET España y colaborador en múltiples publicaciones relacionadas con la seguridad de la información.
      Para asistir al evento, totalmente gratuito, es necesario registrarse, ya que el aforo está limitado. Posteriormente se publicarán las conclusiones del evento, así como los vídeos de las diferentes temáticas debatidas.
      Saludos!

      19 nov 2014

      @dibu2pia y #MundoHackerMAX

      Buenas a todos, como muchos ya sabréis, y sino, os lo recordamos nosotros. Hoy a las 00:25 de la noche a vuelto a DMAX Mundo Hacker, un programa/documental dirigido a público "humano", con el fin de aterrizarles conceptos y temáticas habituales de nuestro día a día del sector. Desde Flu Project aprovechamos para darles un aplauso por la iniciativa, y de paso dejarles abiertas la puerta por si quisieran contar con nosotros algún día... :P ¡Dicho queda!

      Nuestra amiga y compañera de la iniciativa X1RedMasSegura, Blanca, ha querido dedicarles una de sus geniales notas gráficas, que pasamos a compartir con todos vosotros a continuación:


      Esta y otras notas gráficas las comparte desde el twitter oficial de su proyecto dibu2pia (http://twitter.com/dibu2pia). Como veis, incluso sin ver el programa ya nos ha aclarado los puntos principales del mismo :) Desde dibu2pia han prometido hacer una nota gráfica por cada capítulo de la nueva temporada de Mundo Hacker, ¡¡así que caña Blanca que queremos ver como lo cumples!! :P

      Si estáis interesados en ver algunos de sus trabajos, os dejamos la nota que nos dedicó en la charla sobre ciberguerra que Pablo y un servidor realizamos en X1RedMasSeguria, dirigida a aterrizar a público no técnico nuestra charla sobre Ciberguerra de RootedCON2014.


      Saludos!

      18 nov 2014

      pwnConf: Primer evento de SysAdmin/Devops, Networking y Seguridad Informática en Mar del Plata, Argentina

      pwnConf es una conferencia de carácter 100% técnico que se realiza el día 23 de Noviembre en la ciudad de Mar de Plata reuniendo investigaciones de profesionales de distintas partes del país. Entre las principales temáticas que que se tratarán en el evento se encuentra la Seguridad Informática, contando también con gran cantidad de charlas orientadas con perfil de SysAdmin/DevOps y Networking.

      Todas las charlas incluyen un altísimo nivel de vanguardia tecnológica, que se puede vislumbrar fácilmente en charlas con temáticas tan variadas y actuales como Big Data, Privacidad en Internet, NoSQL, Cloud Computing, Clustering y Desarrollo de Librerías. Además de su carácter de conferencia tradicional -con speakers que brindan charlas de 40 minutos de duración- el evento también tendrá un acentuado perfil de desconferencia, en donde los asistentes podrán anotarse libremente para dar lightning talks de 10 minutos de duración con absoluta libertad sobre las temáticas a tratar.

      En el sitio oficial de pwnConf podemos encontrar el cronograma completo de charlas, así como también la lista de disertantes y el correspondiente link al registro, que si bien es 100% libre y gratuito, está limitado a la capacidad física del lugar.

      El fin último de pwnConf es brindar un entorno en donde intercambiar conocimientos, compartiendo experiencias con amigos y colegas en un ambiente descontracturado e ideal para el aprendizaje.

      La conferencia está orientada principalmente a estudiantes de carreras afines a la informática, profesionales, empresas, entusiastas e investigadores. Mas información disponible en pwnconf.org


      17 nov 2014

      Informe: Recomendaciones (Parte I)

      En una auditoria tenemos que tener claro que todo es importante, desde la recolección de información como el desarrollo técnico, como por supuesto la presentación de resultados a través de la generación de los informes. Quizá esto último es lo que más "pereza" pueda dar a la mayoría de auditores, pero hay que tener en cuenta que por muy bueno que sea el trabajo, si no podemos explicarlo o comunicarlo tendremos un problema.

      En esta cadena de artículos se pretende mostrar las recomendaciones que los auditores, generalmente, tendrán que tener en cuenta en las auditorias que lleven a cabo. Por ejemplo, para este primer artículo hablaremos de medidas correctoras en auditoria perimetral. En función de la auditoría que se esté llevando a cabo, las recomendaciones siempre cambiarán, aunque algunas de ellas se pueden extrapolar a otros ámbitos, por lo que se pueden enunciar en ambas auditorías.

      Las primeras contramedidas o recomendaciones que el auditor debe contar en el informe son las soluciones a las vulnerabilidades que se han podido encontrar en la propia auditoría perimetral. Las podemos clasificar como se muestran a continuación: 
      • Acceso
      • Autenticación
      • Sesiones
      • Criptografía
      • Datos sensibles
      • Comunicación y protocolos
      • Entradas, codificación y errores
      Por supuesto, podemos utilizar algunas guías, como por ejemplo la de OWASP que nos proporcionan una serie de buenas prácticas. Se recomienda su lectura. La guía se puede encontrar en la siguiente dirección URL https://www.owasp.org/index.php/ESAPI_Secure_Coding_Guideline.

      Acceso

      Los servicios perimetrales disponen de una capa de acceso la cual debería cumplir con unas premisas en cuanto a seguridad se refiere.Los usuarios que acceden a los recursos o datos de las aplicaciones o servicios deben poseer una autorización de acceso, la cual se regirá por la característica de mínimo privilegio posible en todo instante.

      En definitiva cualquier entidad que ejecute código en una máquina o servidor deberá ejecutar siempre con el mínimo privilegio posible y controlar los parámetros de entrada. La captura y gestión de excepciones debe estar implementada siempre y de manera segura, por ejemplo no mostrando información de debug hacia el exterior. 

      La capa de acceso se implementará de manera centralizada para proteger el acceso a cada tipo de recurso. Tener distribuida la capa de acceso puede desembocar en la generación de fallos de configuración o de aplicación de permisos debido a la propagación o replicación que hay que llevar de éstos. 

      Autenticación

      La identificación y autenticación de usuarios es un proceso crítico que debe disponer de unas medidas de seguridad, las cuales deben ser conocidas por los auditores para poder presentar contramedidas en la corrección o implementación de aplicativos web.

      Siempre hay que tener en cuenta que el acceso a datos de carácter personal se realiza con una sesión de usuario identificado y autenticado. Cuando una aplicación realiza un cambio de credenciales, éste se deberá llevar a cabo de forma segura, al igual que la gestión de errores.

      Se debe utilizar una función hash para almacenar las contraseñas en un fichero o en una base de datos. Es casi imprescindible utilizar un algoritmo de la familia SHA, y ya no utilizar MD5. 

      Los ataques de fuerza bruta a la autenticación es una de las acciones más comunes. Se debe implementar un mecanismo, como el captcha, con el que superando un número de intentos de accesos consecutivos, se pida al usuario una serie de símbolos a introducir con el fin de comprobar que no es un proceso automatizado quién está realizando la autenticación.

      Los token deben generarse para cada petición del usuario en términos de autenticación. Por último, una contramedida que se suele utilizar en el sector de la banca es la utilización de una reautenticación de usuario, o un segundo factor de autenticación para realizar una acción sensible. 

      16 nov 2014

      Informe Flu - 201


      Como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

      Lunes 10 de Noviembre
      Martes 11 de Noviembre
      Miércoles 12 de Noviembre
      Jueves 13 de Noviembre
        Sábado 15 de Noviembre
        Saludos!

          15 nov 2014

          El martes Flu Project hablará de seguridad en el Congreso sobre Redes Sociales de la URJC 2014

          Buenas a todos, los próximos 18 y 19 de Noviembre en el Campus de Móstoles de la Universidad Rey Juan Carlos, en el Aula Magna (203) del Aulario III se organiza este congreso multidisciplinar sobre redes sociales coincidiendo este año con el décimo aniversario de Facebook.

          En el evento Pablo González dará una charla sobre la privacidad en las redes sociales, y mostrará cosas que no tenemos tan presentes, pero que sin querer vamos dejando en Internet. Por otro lado, los compañeros de i4s Daniel González y Marta Barrio darán una charla sobre gestión de identidades. Otros buenos amigos como Jaime Álvarez y Roberto García hablarán las contraseñas seguras y la inseguridad en las redes inalámbricas.

          Es un evento organizado para toda la comunidad universitaria en el que se concederán hasta 0.6 créditos ECTS por asistir.



          Podréis registraros gratuitamente desde el siguiente enlace:


          Las plazas son limitadas. Así que corred que se agotan.

          Más información en http://uacm.es/ y uacm.informacion@gmail.com

          13 nov 2014

          Concurso Jóvenes X1RedMasSegura 2015

          Buenas a todos, tras el éxito de las Jornadas X1RedMasSegura 2013 y 2014, todo el equipo que formamos parte de X1RedMasSegura, nos hemos puesto manos a la obra en la preparación del evento de 2015. Este año ampliaremos las actividades, con nuevos talleres y muchas sorpresas que os iremos revelando según se acerquen las fechas.

          La primera de las actividades de X1RedMasSegura 2015 es la 2ª Edición del "Concurso Jóvenes X1RedMasSegura". El concurso persigue concienciar y educar a los más jóvenes en el uso seguro y responsable de Internet de una forma lúdica que les permita compartir ese conocimiento tanto en las escuelas o institutos como en el seno de sus familias. Os dejamos un enlace al resumen que nuestro blog hizo del concurso del 2015.

          Este año de nuevo los jóvenes pueden participar creando y compartiendo sus Infografías con x1RedMasSegura: se participa de forma individual creando como máximo DOS infografías sobre alguna de las temáticas que se proponen para ello:
          • I. Contraseñas Seguras 
          • II. Datos Personales e Internet 
          • III. Privacidad y Redes Sociales
          • IV. Amenazas en Internet
          • V. Uso de dispositivos móviles
          Cualquier duda sobre la participación en el concurso puede ser remitida a la cuenta de correo electrónico siguiente: concurso@x1redmassegura.com

          http://www.x1redmassegura.com/p/concurso.html

          Saludos!

          12 nov 2014

          Ataques de fuerza bruta a RDP con Hydra

          Buenas a todos, en el post de hoy vamos a ver como realizar ataques de fuerza bruta a RDP, para intentar autenticarnos remotamente en un sistema Windows sin necesidad de conocer la contraseña del usuario.

          Ya os hemos hablado durante numerosos posts de como localizar archivos RDP en Internet, mediante Google Hacking y Shodan, con verbos y búsquedas como "ext:rdp", por lo que hoy simplemente nos centraremos en identificar si está RDP activo y en el ataque en sí.

          Para verificar si tenemos el servicio RDP operativo en el servidor en el que realizaremos la auditoría utilizaremos la herramienta NMAP, y comprobaremos que el puerto 3389 está abierto:
          nmap --open –p 3389 IP
          El siguiente paso será lanzar el ataque de fuerza bruta con el diccionario “rockyou.txt” que viene incluido en Kali.

          El diccionario por defecto se encuentra comprimido en GZ en la siguiente ruta "/usr/share/wordlist/rockyou.txt.gz".

          Para descomprimirlo podéis utilizar la siguiente instrucción:
          gzip –d /usr/share/wordlist/rockyou.txt.gz
          Finalmente, lanzaremos el ataque, y en función de la resistencia de la contraseña, lograremos obtener la misma para acceder al equipo de manera remota:
          hydra –t 4 –V –l administrator –P /root/Desktop/Password/rockyou.txt rdp://IP
          Sencillo ¿verdad? En este caso la mayor dificultad estará en la fortaleza de la contraseña y en los posibles sistemas de seguridad como IPS y Firewall, que nos puedan cortar la conexión.

          Saludos! 

          11 nov 2014

          Nuevo curso en Valencia de Ataques y técnicas forenses a dispositivos móviles

          Buenas a todos, tras el éxito del primer Security Lab presencial de Valencia sobre "Ethical Hacking" que realizamos desde Flu Project, TAES y Zink Security, volveremos a Valencia el día 13 de Diciembre para impartir un nuevo taller, en esta ocasión sobre "Ataques y Técnicas Forenses a Dispositivos Móviles"

          La formación de Ataques y técnicas forenses a dispositivos móviles os permitirá aprender los conceptos base que todo analista forense debe conocer antes de enfrentarse a un análisis pericial de un smartphone o una tablet. Durante el curso se analizarán distintos entornos ante los que un perito podría encontrarse, poniendo foco en los dispositivos y sistemas operativos para móviles más extendidos entre la sociedad.

          CONTENIDOS

          EVIDENCIA DIGITAL
          • LA OBTENCIÓN DE EVIDENCIAS. METODOLOGÍA PARA LA OBTENCIÓN DE EVIDENCIAS
          • RFC 3227
          • FIRMADO DE EVIDENCIAS
          • LA CADENA DE CUSTODIA
          ANALISIS DE DATOS
          • TRATAMIENTO DE EVIDENCIAS
          • EL PRINCIPIO DE LOCARD
          • LA LÍNEA TEMPORAL
          FORENSE EN SMARPHONES Y TABLETS
          • ARQUITECTURA DEL SISTEMA IOS
          • ARQUITECTURA DEL SISTEMA ANDROID
          • ARQUITECTURA DEL SISTEMA BLACKBERRY
          • SEGURIDAD DEL SISTEMA IOS
          • SEGURIDAD DEL SISTEMA ANDROID
          • SEGURIDAD DEL SISTEMA BLACKBERRY
          • VULNERABILIDADES Y EXPLOITS
          • REVERSING DE APLICACIONES MÓVILES
          • PRESERVACIÓN DE EVIDENCIAS
          • OBTENCIÓN DE INFORMACIÓN DEL DISPOSITIVO
          • OBTENCIÓN DE DATOS DE LA TARJETA SD
          • VOLCADO DE MEMORIA RAM
          • ADQUISICIÓN DE IMAGEN FÍSICA DE LA MEMORÍA
          • LIVE FORENSICS
          • ADQUISICIÓN DE INFORMACIÓN DE LA TARJETA SIM
          • INFORME
          DATOS DE INTERÉS
          • Fecha: Sábado 13 de diciembre. De 10:30h a 14:00 h y de 15:30h a 20:00 h
          • Precio: 160€
          • Comida incluida
          • 50% de descuento para estudiantes
          • Lugar: TÉCNICAS AVANZADAS DE ESTUDIO S.L. Pasaje Ventura Feliu 10-12
          Nos vemos en Valencia.

          Saludos!

          10 nov 2014

          Descifrando bases de datos WhatsApp cifradas con Crypt5

          Buenas a todos, la semana pasada os hablamos de como descifrar bases de datos de WhatsApp cifradas con Crypt7, el último algoritmo utilizado como medida de seguridad por el popular sistema de mensajería. Hoy, os explicaremos como descifrar las bases de datos Crypt5, ya que seguramente se os de alguna vez el caso durante un forense en el que tengáis la necesidad de recuperar datos de una base de datos antigua (a nosotros desde Zink Security ya nos ha pasado en varias ocasiones).

          Para el proceso de descifrado vamos a necesitar el software "WhatsApp Viewer". Existen muchas otras utilidades interesantes para ello, pero esta es muy sencilla y no requiere de otras dependencias para funcionar.

          Una vez descargada la ejecutaremos, y pulsaremos en el botón "File". A continuación seleccionaremos el formato "Crypt5" e introduciremos los siguientes datos:


          Una vez indicada la bbdd a descifrar y la cuenta de Google registrada en el dispositivo pulsaremos sobre el botón "OK". ¿Sencillo verdad?



          WhatsApp Viewer también os permitirá descifrar las bases de datos Crypt7 que ya vimos en este post, utilizando el key file:




          Eso es todo por hoy, hasta el próximo post.

          Saludos!

          9 nov 2014

          Informe Flu - 200


          Buenas a todos, hoy hacemos 200 semanas de Flu Project, ¡gracias por leernos durante todo este tiempo! y esperamos seguir así durante mucho más.

          Como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

          Lunes 3 de Noviembre
          Martes 4 de Noviembre
          Miércoles 5 de Noviembre
          Jueves 6 de Noviembre
          Viernes 7 de Noviembre
          Sábado 8 de Noviembre
          Saludos!

            8 nov 2014

            Publicado el Storify #HangoutON "Hack&Beers"

            Buenas a todos, ya ha sido publicado el Storify del #HangoutON "Hack&Beers", que tuvo lugar el pasado 6 de Noviembre de 2014 y en el que tuvimos la suerte de compartir #HangoutON con grandes expertos en seguridad informática para hablar de los eventos Hack&Beers: Miguel A. Arroyo (@Miguel_Arroyo76), Eduardo Sánchez (@eduSatoe), Rafael Otal ‘Goldrak’ (@goldrak), Pablo González (@pablogonzalezpe) y un servidor, Juan Antonio Calles (@jantoniocalles).

            Os dejamos a continuación con el storify:


            7 nov 2014

            La magia de #Towelroot en Android

            Buenas a todos, en numerosas ocasiones os habréis encontrado en la necesidad de rootear un móvil Android para poder lanzar cierto tipo de aplicaciones de seguridad, como herramientas de auditoría, de extracción forense, y un largo etc.

            Para este proceso existen varias técnicas, como la explotación de vulnerabilidades, la modificación del firmware o la modificación de la partición de recovery, y mil y una herramientas automáticas como z4root, Universal Androot, superoneclick, …

            Una de las herramientas que más solemos utilizar nosotros es Towelroot, en primer lugar porque no es necesario disponer de un ordenador y en segundo lugar porque es una herramienta de botón gordo que funciona con muchos de los smartphones más nuevos, como la saga Samsung Galaxy S*:


            Towelroot utiliza un bug detectado por George Hotz, alias Geohot en el kernel de Linux y que en la mayoría de dispositivos ha sido parcheado. 

            Geohot es un viejo conocido del mundo del hacking de móviles y videoconsolas, que entre su catálogo de investigaciones puede presumir de haber desarrollado técnicas para desbloquear iPhones-iPads, Play Stations 3, Androids, etc.

            Towelroot no funciona con terminales HTC y Motorola.

            Nosotros lo hemos probado con Samsung Galaxy S4, S5, Xperia Z, y funciona correctamente.

            Saludos!

            6 nov 2014

            Herramientas forense para ser un buen CSI. Parte LIV: Clonando Android con EXT4

            Buenas a todos, en el post de hoy continuaremos con la cadena de Análisis Forense de Flu Project, con el fin de complementar el artículo "Herramientas forense para ser un buen CSI. Parte XXI: Clonación en Android III de III", que publicamos hace más de un año sobre el proceso de clonación de dispositivos Android con sistemas de ficheros YAFFS.

            Hoy os presentaremos las carpetas y archivos donde encontraréis las particiones de un dispositivo Android instalado sobre un sistema de ficheros EXT, muy común en los smartphones más nuevos.

            Mientras que en YAFFS nos encontrábamos con el fichero /proc/mtd, donde encontrábamos enumerado el listado de particiones del sistema, en el caso de EXT nos encontramos con el fichero /proc/partitions.

            YAFFS



            EXT

            Una vez que tengamos claro las particiones existentes, con el siguiente comando podréis ver que particiones se encuentran mapeadas y con qué nombres: 


            Una vez listadas, y con un sencillo script y el poder de "dd", podremos clonar de forma automatizada las particiones de un Android, y llevárnoslas por ejemplo a la tarjeta MicroSD para luego extraerla y realizar la pericial.

            Cada maestrillo tiene su librillo, y en el caso particular de Zink Security tenemos desarrollados varios programas de uso interno con el fin de automatizar toda esta labor y realizar la extracción del clon del móvil lo más ágilmente posible.

            Nos vemos en el próximo post,

            Saludos!

            5 nov 2014

            El jueves estaremos en el #HangoutON sobre Hack&Beers

            Buenas a todos, mañana tendremos el enorme placer de volver a formar parte de los HangoutON nocturnos, en los que distintos ponentes debaten sobre temas de interés relacionados con las TIC.

            El día de mañana, charlaremos con todos vosotros sobre el evento Hack&Beers

            Os dejamos a continuación con toda la información del Hangout: 

            Jueves 6 de noviembre a las 22 horas en directo (GMT+1)

            Hack & Beers son una serie de reuniones de hackers y personas aficionadas a la seguridad informática que se están extendiendo como la pólvora en distintas ciudades de España. Son reuniones con conferencias, charlas y talleres prácticos sobre seguridad y hacking donde se aprovecha para hacer networking en un ambiente informal y desenfadado, una forma práctica de acercarse sin miedo a grandes profesionales de la seguridad informática y hackers éticos que comparten su conocimiento de forma desinteresada con todo aquel que se acerca. En HangoutON nos gusta contribuir a difundir este tipo de iniciativas y hemos reunido a los fundadores y varios organizadores de Hack & Beers para conocer al detalle qué es y cómo se desarrollan estos encuentros. Los invitados son:

            - Miguel A. Arroyo (@Miguel_Arroyo76) Cloud Senior Security en SVT Cloud Services, empresa que ofrece servicios de seguridad en la nube. Auditor de Seguridad IT y Hacker ético, autor del blog hacking-etico.com, presidente de la asociación ANPHACKET y fundador de la iniciativa Hack & Beers con la puesta en marcha del primer Hack & Beers Córdoba.

            - Eduardo Sánchez (@eduSatoe). Ingeniero Informático, desarrollador Android y profesor de FP en la especialidad de Sistemas y aplicaciones informáticas. Especializado en seguridad Android. Organizador de Hack & Beers Córdoba, co-fundador de ANPHACKET y colaborador de hacking-etico.com

            - Rafael Otal ‘Goldrak’ (@goldrak). Ingeniero de Telecomunicaciones, administrador y desarrollador de sistemas. Creador de la asociación CuFree para la impulsar el Software Libre en la universidad de Cuenca, CP de los foros de Google en la API de Gooogle Maps. Organizador de Hack & Beers Huesca.

            - Pablo González (@pablogonzalezpe). Ingeniero informático URJC. Telefónica Digital Id & Privacy, Project Manager en Telefónica Digital. Especialista en seguridad informática, pentester, hacker ético y co-fundador de Flu Project. Autor de Metasploit para Pentesters, Ethical Hacking y Pentesting con Kali. Organizador de Hack & Beers Madrid.

            - Juan Antonio Calles (@jantoniocalles). Ingeniero en informática de sistemas, Postgrado en Tecnologías de la Información y Sistemas Informáticos y Postgrado en Ingeniería de Sistemas de Decisión, actualmente realizando un Doctorado en Informática sobre Seguridad de la Información. Informático forense, co-fundador de Flu Project y director de la consultora de seguridad Zink Security. Miembro de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica (ANCITE). Organizador de Hack & Beers Madrid.

            Recuerda que HangoutON pone el conocimiento práctico a tu alcance así que si te gusta este vídeo compártelo para que otros también se puedan beneficiar del conocimiento.

            4 nov 2014

            Wargames in your office: Jornadas técnicas de ISACA 2014

            Mi compañero de @elevenpaths Rafa Sánchez y yo estaremos en las jornadas técnicas de ISACA, aportando una charla dinámica en la que se mostrará un escenario con controles y como la mala configuración o gestión de dichos controles pueden poner en riesgo activos e información de la organización. Intentamos unir o fusionar el mundo de gestión con el mundo de la auditoría técnica en redes internas de una organización. 

            La charla denominada Wargames in your office pretende mostrar exactamente los peligros qué hay en el día a día dentro de una organización y de sus redes internas. La charla orientada a la demostración de los riesgos internos, y la importancia de políticas, procedimientos y una gestión diaria sobre los controles que la organización dispone internamente. 


            La charla serán unos 30 minutos, por lo que tendremos que ir bastante rápidos proponiendo el escenario, los problemas y soluciones, mientras se hace una demostración en vivo de ataques con los que ir escalando privilegios en la organización de forma interna. 

            A continuación os dejamos los horarios del Miércoles 5 de Noviembre de 2014:



            3 nov 2014

            Descifrando bases de datos WhatsApp cifradas con Crypt7

            Buenas a todos, son ya muchos los artículos que llevamos publicados sobre WhatsApp, y no paramos de trastear con esta interesante herramienta. Hoy queríamos explicaros paso a paso el proceso seguido para extraer por ADB y descifrar bases de datos de WhatsApp cifradas mediante Crypt7, el último sistema y más complejo utilizado por las últimas versiones de la herramienta.

            Lo primero que debemos hacer es desplegar ADB en nuestro equipo, como ya explicamos hace varios meses en este artículo http://www.flu-project.com/2013/04/herramientas-forense-para-ser-un-buen_7.html.

            El siguiente paso será conectar el dispositivo móvil a nuestro ordenador mediante ADB con el fin de traernos el archivo /data/data/com.whatsapp/files/key. Por ejemplo lo podemos copiar a la tarjeta SD:
            $adb shell
            $su
            $cp /data/data/com.whatsapp/files/key /sdcard
            $exit
            $exit
            A continuación nos lo traeremos al equipo:
            $adb pull /sdcard/key
            De este archivo nos interesará extraer la clave AES y el vector de inicialización utilizados con el fin de cifrar los datos: Clave AES de 256 bits 
            $hexdump –e '2/1 "%02x"' key | cut –b 253-316
            Mismo paso para extraer el vector de iniciación, de 128 bits 
            $hexdump –e '2/1 "%02x"' key | cut –b 221-252
            Antes de descifrar tendremos que quitar la cabecera de 67 bytes del archivo crypt7. 
            $ dd if=msgstore.db.crypt7 of=msgstore.db.crypt7.nohdr ibs=67 skip=1
            Y con openssl descifraremos el archivo crypt7 y lo replicaremos en un archivo SQLite para revisarlo con nuestro visor preferido:
            $ openssl enc -aes-256-cbc -d -nosalt -nopad -bufsize 16384 -in msgstore.db.crypt7.nohdr -K $key -iv $iv > msgstore.db
            $key y $iv serán la clave y el vector de inicialización previamente extraídos

            Y si todo ha ido bien, podremos abrir el fichero de base de datos resultante con alguna herramienta como SQLite Browser o Whastapp Foresincs, de la que ya os hemos hablado anteriormente en Flu Project.


            2 nov 2014

            Informe Flu - 199


            Como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

            Lunes 27 de Octubre
            Martes 28 de Octubre
            • El pasado 31 de Octubre tuvo lugar en Madrid el “Halloween Hacking Day” ¿Truco o Trato? Una sesión formativa gratuita con motivo de la celebración de la festividad de Halloween. En esta sesión, los docentes del Master FCSI planteamos una serie de retos hacking sobre temáticas tan interesantes como el Malware, los ataques a infraestructuras internas desde sistemas externos y estenografía, e hicimos entrega de numerosos premios a los alumnos que finalizaron con éxito todos los retos planteados. El buen feedback de los asistentes y la larga lista de espera de interesados que no pudieron asistir por falta de plazas dieron fe del éxito del evento, que nos gustaría repetir en futuras ocasiones.
            Jueves 30 de Octubre
            • Del 5 al 7 de Diciembre tendrá lugar en Madrid la Cybercamp: un interesante evento llevado a cabo por la gente de Incibe, antiguo Inteco, orientado a la búsqueda de talento y jóvenes investigadores en seguridad.
            Saludos!