viernes, 31 de enero de 2014

Pantalla Pública XXX

Compartir este artículo:
Buenas a todos, hoy estamos aquí de nuevo con la edición 30 de Pantalla Pública, ¿cómo pasa el tiempo verdad?

En la primera pantalla de hoy nos encontramos con nuestros amigos tr1ana y lorenzo de Securizame con un BSoD de los "pequeñitos" en una pantalla publicitaria con la que se cruzaron en nuestro último viaje a La Rioja, donde participamos los tres en las Jornadas de Prevención del Fraude y el Cibercrimen coorganizadas por ANCITE. 

La imagen no tiene desperdicio :P


La segunda pantalla de hoy nos la envía Joaquíngb, que repite en esta nueva edición de Pantalla Pública con un cuelgue de un script en una pantalla de una transitada estación de trenes madrileña:


Deberían cambiar el "cuenta hasta 10 y disfruta", por "cuenta hasta 10 y... sigue esperando... que el script ha petado..." }:)

La tercera pantalla de hoy nos la envía Jesús Antonio Espinosa, y en ella se puede ver un pantallazo en un bus en Rio de Janeiro, Brazil:


Esto es todo por hoy, como siempre os recordamos que podéis seguir enviandonos pantallas a info@flu-project.com.

Saludos!

jueves, 30 de enero de 2014

Hacking WiFi: Descifrando capturas WiFi (Parte 16)

Compartir este artículo:
Una vez hemos realizado el cracking de la password, ya sea en WEP como en WPA, ahora podremos descifrar el tráfico que hayamos capturado para poder analizarlo. Para descifrar paquetes WEP teniendo la clave con wireshark, iremos a Edit -> Preferencias - > Protocolos -> IEEE 802.11 Aqui en el botón editar de "Decryption Keys" y añades la clave WEP en formato hexadecimal.


La otra opción es hacerlo con Airdecap-NG, que nos generará una otra captura ya descifrada. 
# airdecap-ng -w 31:32:33:34:35:36:37:38:39:31:32:33:34 captura.pcap


Ahora vamos a ver como descifrar las capturas WPA. Recordar que para que se pueda descifrar la captura tenemos que haber capturado un Handshake. 
# airdecap-ng -e WLAN_32A3 -p qwertyuiop cracking- 01.cap


Autor: Roberto Lopez (@leurian)

miércoles, 29 de enero de 2014

Ya puedes comprar las nuevas camisetas, sudaderas y tazas de Flu Project

Compartir este artículo:
Buenas a todos, hoy tenemos el placer de anunciar el acuerdo al que hemos llegado con la tienda online de venta de camisetas camisetasfrikis.es (la única tienda española con una categoría de hacking y seguridad informática), para distribuir productos de Flu Project a través de su tienda online.

A partir de hoy, podréis adquirir desde su sitio web camisetas, sudaderas, polos, mochilas, tazas y demás productos con el diseño de Flu Project que más os guste. Como novedad, a partir de ahora tendremos algunos productos con el logo de Flu en una gran variedad de colores, entre los que se encuentran el azul, rosa, rojo y morado, que muchos de vosotros nos habéis solicitado en numerosas ocasiones :)

Comprando cualquiera de estos productos estáis donando 1€ a la ONG Hackers For Charity (http://www.hackersforcharity.org/) y 3€ al proyecto Flu. Por tanto no solo os estáis llevando un producto chulo sino que estáis colaborando a que estos dos proyectos sigan adelante.

Además, por cada camiseta o sudadera de Flu Project que adquiráis, recibiréis gratuitamente dos vinilos adhesivos para decorar vuestros portátiles con la imagen de Flu.



Podéis encontrar todos estos productos desde la categoría de "Hacking e Informática" de la web: http://shop.camisetasfrikis.es/18-hacking-e-informatica?&p=6

Saludos!

Herramientas forense para ser un buen CSI. Parte XLVII: PhoneScoop

Compartir este artículo:
Buenas a todos, en el post de hoy volveremos con una nueva edición de herramientas forense para ser un buen CSI para hablaros sobre una de las fases más importantes que debemos realizar durante el análisis de un terminal móvil, "la búsqueda previa de información".

Cuando vayamos a realizar un análisis forense a un terminal móvil lo primero que deberíamos hacer es identificar el dispositivo con el que vamos a trabajar. Parafraseando a Sun Tzu "Si conoces al enemigo y te conoces a ti mismo, no deberás temer el resultado de cien batallas.  Si te conoces a ti mismo, pero no al enemigo, por cada victoria lograda también sufrirás una derrota.  Si no conoces ni al enemigo ni a ti mismo, sucumbirás en todas las batallas". Esta frase sin duda cobra más importancia en el análisis forense a un dispositivo móvil, ya que cuando realizamos un forense a un PC/Servidor con Windows, Linux, etc. después de unas cuantas periciales veremos que las tareas siempre son muy similares, y acaba siendo un sota, caballo, rey. Pero en el mundo de los smartphones y de las tabletas es otro cantar. Nos vamos a encontrar con infinidad de marcas y modelos, y por cada uno de ellos, versiones específicas del sistema operativo, lo que dificulta enormemente las labores de análisis.

Por tanto, es crucial conocer de antemano toda la información posible del móvil que analizaremos. Para ello yo suelo recurrir al sitio web de PhoneScoop.


En este sitio web podréis buscar las especificaciones de una gran variedad de terminales móviles, incluyendo sistemas operativos y versiones soportadas, lo que nos ayudará, entre otras cosas, a buscar si el terminal se puede rootear para acceder con los permisos suficientes para clonar sus particiones bit a bit y extraer toda la información posible.

También será interesante identificar previamente el software de sincronización y backup del terminal, por si nos hacemos con un backup durante el análisis forense, para poder extraer toda la información posibles del mismo (en Flu Project ya hemos visto algún ejemplo de ello, como por ejemplo para Blackberry o Symbian).

Una vez tengamos el terminal, antes de "meterle mano" debemos seguir recopilando información como posibles números de serie, etiquetas, etc. También debemos anotar la fecha y hora que aparezca en pantalla (si está encendido), así como fotografiar la pantalla.

Recordad que tan importante como el análisis forense, es la labor previa de enumeración de información. Y por supuesto no os olvidéis del fichero de cadena de custodia :)

Saludos!

martes, 28 de enero de 2014

Satori, p0f y pinturas de pcap

Compartir este artículo:
El fingerprinting es una técnica necesaria en las auditorías, como son las perimetrales, web, internas, etc. Satori y p0f nos ayudan a llevar a cabo estos procesos permitiendo realizar un fingerprinting pasivo. ¿Qué es eso? Se puede entender como que la máquina del autor de la acción pasa totalmente desapercibido. No hay interacción directa con la máquina a la que se realiza fingerprinting, por lo que se necesita que el tráfico que nos interesa llegue a nuestra tarjeta de red. 

Satori permite realizar fingerprinting pasivo a las máquinas que comparten la red con nuestro equipo. La fuerza de este tipo de herramientas está en los módulos que implementan y que se pueden añadir. Una de las cosas que mejor realiza Satori es la detección del sistema operativo en las máquinas escuchando tráfico en la red. La herramienta analiza el comportamiento de los protocolos que circulan alrededor de la máquina del auditor, los módulos realizan la inferencia de ciertas propiedades. Protocolos como DHCP, SNMP, CDP, SMB, SCCP, HSRP, TCP, ICMP, EIGRP, OSPF, etcétera. 


La herramienta p0f realiza fingerprinting pasivo, y es totalmente recomendable para trabajos en auditorías. Es muy flexible y permite obtener más información para poder analizar en un modelo de datos. Esta herramienta se puede encontrar en la siguiente URL http://lcamtuf.coredump.cx/p0f3/


Puede ser cómodo en algunas ocasiones realizar visualizaciones gráficas de los distintos entornos de red en los que el auditor se encuentre. En algunas ocasiones la frase “Vale más una imagen que mil palabras” se aplica a los archivos PCAP o CAP, y visualizar en un esquema o mapa puede ayudar a entender mejor lo que está ocurriendo en la captura de tráfico realizado. 

Herramientas como iNav, InetVis o NetGrok permiten realizar mapas de manera muy sencilla, incluso capturando el tráfico directamente desde la interfaz de red. Lógicamente, el estudio de las tramas en archivos PCAP o CAP será más eficiente y útil, pero echar un vistazo a lo que se presenta con estas herramientas es realmente interesante.







lunes, 27 de enero de 2014

Wireshark: Más que una pantalla principal (Parte II)

Compartir este artículo:
En el artículo pasado vimos como Wireshark es más que una cara bonita. Uno de los objetivos de la serie es ver funcionalidades que nos puede aporta esta magnífica herramienta, y que en el día a día quizá no utilicemos. 

Wireshark puede realizar gestión de archivos para las capturas, y esto es interesante para que los ficheros no crezcan de manera indefinida. Para entender esto vamos a ver que opciones tenemos en la interfaz para gestionar archivos. Se puede indicar al sniffer que utilice múltiples archivos para almacenar el tráfico recogido. Las opciones que aporta la opción de múltiples archivos son:
  • Se creará un nuevo archivo después de un número determinado de KB, MB o GB
  • Se creará un nuevo archivo después de un número determinado de minutos. 
  • Otras opciones interesantes son la finalización de la captura después de generar un número determinado de archivos o se sobrescribirán después de un número determinado de ficheros. 

Por otro lado, se disponen de los filtros display, los cuales ya nombramos en el anterior artículo. Para utilizarlos se debe indicar, por ejemplo, el protocolo del que se quiere filtrar paquetes: http, tcp, arp, ip, etcétera. Cada protocolo dispone de los denominados atributos, a los cuales se accede a través del punto, por ejemplo http.content_type == “application/pdf”. Este filtro solo mostrará los paquetes del protocolo HTTP que tengan un content_type de PDF, es decir, internamente albergará un archivo PDF o parte de él. 

Los filtros son evaluaciones lógicas, por lo que al final se pueden concatenar con el fin de afinar los filtros o búsquedas de ocurrencias. Los operadores son los siguientes:
  • Operador and. Solo se mostrarán los paquetes que cumplan ambas condiciones, por ejemplo http && ip.src == 192.168.1.40. Este filtro de ejemplo mostrará los paquetes que en el nivel de aplicación tenga HTTP como protocolo, y además tenga como dirección IP de origen la dirección 192.168.1.40. 
  • Operador or. En este caso se mostrarán los paquetes que cumplan al menos una de las condiciones, por ejemplo arp || http contains “Cookie”. Este filtro mostrará los paquetes de tipo ARP o paquetes de tipo HTTP que contengan el campo Cookie. En este caso no se podría dar las dos condiciones nunca, pero vale con una de las dos.
  • Operador not. En este último caso el operador not niega el resultado obtenido de un filtro normal, por ejemplo http.content_type == “application_pdf” && not arp. Este filtro mostrará los paquetes de tipo HTTP que contengan un trozo o un archivo de PDF y que además los paquetes no sean de tipo ARP. Es un ejemplo absurdo pero que ejemplifica claramente la negación.
Los operadores lógicos se encuentran disponibles para los filtros de captura que vimos en el primer artículo. Aunque hay que recordar que los filtros cambian. 

Hasta aquí la segunda parte de Wireshark, en la que vemos que es más que una cara bonita.



sábado, 25 de enero de 2014

Informe Flu - 160

Compartir este artículo:

Buenas a todos, como cada domingo compartimos con vosotros nuestros “Enlaces de la semana”: 

Lunes 20 de Enero
Martes 21 de Enero
Miércoles 22 de Enero
Jueves 23 de Enero
Viernes 24 de Enero
Sábado 25 de Enero

Saludos!

Hacking ético en TASSI de la UPM

Compartir este artículo:
El ciclo de conferencias TASSI que celebra anualmente la UPM desde el año 2005 es uno de los eventos universitarios más interesantes a los que podemos asistir. En el año 2014, en el X ciclo de conferencias he tenido el honor de ser invitado a dar una charla. Cuando recibí el correo de Jorge Ramió, para mi fue algo honorífico y también una responsabilidad. Siempre es una responsabilidad dar una charla delante de gente, pero cuando vas a la Universidad y tienes delante al futuro, nuestra responsabilidad sube un peldaño más. 

Por TASSI han pasado auténticos estandartes de la seguridad informática a nivel nacional e internacional. No quiero nombrarlos por no dejarme a ninguno, pero si que podéis verlo a través del enlace anterior. La flor y nata del mundo de la seguridad ha ido pasando por ahí, aunque aún falta mucha gente por pasar por ahí, que seguro irán llegando en años siguientes. El otro día estuve viendo la charla que Alejandro Ramos dio el año pasado, para documentarme un poco sobre el evento, y creo que es un evento de los que molan. Gente interesada en aprender sobre seguridad y con entrada libre pueden asistir. 


Cuando me propusieron la charla tuve que pensar rápidamente sobre que hablar, pensé ¿Metasploit? y dije no quiero encasillarme :P, ¿Kali?, demasiado específico, y entendí que debía dar una visión global de un trabajo que se realice en seguridad y que pueda llamar la atención de los estudiantes. Tenemos cierta responsabilidad en mostrar el mundo de la seguridad desde un punto de vista amigable y llamativo que pueda atraer a los estudiantes a este mundo, y ¿Cuando esto ocurra gobernaremos el mundo? No, cuando esto ocurra quizá las universidades empiecen a plantearse lo que hay en otros países, grados de seguridad completos, y una mejor preparación en este mundo. 

Al final me decanté por mostrar cómo es una auditoría interna y cómo afrontarla, por lo que prometo una visión global (lo que dé tiempo) y una parte técnica, que al final se quiere ver sangre! :D Os espero el día 24 de Abril en la UPM, pues!


viernes, 24 de enero de 2014

Hacking WiFi: Atacando al cliente, Cracking WPA/WPA2 sin AP (Parte 15)

Compartir este artículo:
Necesitaremos saber cual es la configuración de la red que tiene guardada la víctima en su dispositivo, que anteriormente sabemos que se ha conectad. De esta forma conectará la víctima sin darse cuenta. Muchas veces la víctima emitirá probe request de redes que está buscando a ver si puede conectarse a ellas, y tendremos que saber la configuración para poder crear el Rogue AP correspondiente. 

Para dar solución a este problema, vamos a montar los 4 posibles puntos de acceso para un SSID determinado. Abierto, WEP, WPA-PSK y WPA2-PSK. Como podéis imaginaros no vamos a utilizar 4 adaptadores de red WiFi distintos, porque ir con 4 antenas por ahí podría resultar un poco sospecho... Lo que haremos será levantar 4 interfaces virtuales en modo monitor sobre la misma tarjeta de red, es decir, aparte de mon0 tendremos mon1, mon2, mon3 y mon4. mon0 la dejaremos para monitorizar, y las otras 4 nos servirán para montar los 4 tipos de puntos de acceso. Esto lo haremos lanzando el comando airmon-ng start wlan1 5 veces 

# airmon-ng start wlan1 (Primera vez)
.
.

# airmon-ng start wlan1 (Quinta vez)



Tendremos que crear los 4 APs en el mismo canal. Tendré que poner en 5 ventanas distintas lo siguiente. El parametro -c es para indicar el canal, el -W para indicar que se cifrarán los datos, y el -z ó -Z para indicar WPA o WPA2. Para saber exactamente todas las opciones os recomiendo mirar el manual de uso de la herramienta.

# airodump-ng -c 1 -w cracking mon0 
# airbase-ng --essid WLAN_23A3 -a aa:aa:aa:aa:aa:aa -c 1 mon1 
# airbase-ng --essid WLAN_23A3 -a bb:bb:bb:bb:bb:bb -c 1 -W 1 mon2 
# airbase-ng --essid WLAN_23A3 -a cc:cc:cc:cc:cc:cc -c 1 -W 1 -z 2 mon3 
# airbase-ng --essid WLAN_23A3 -a dd:dd:dd:dd:dd:dd -c 1 -W 1 -Z 4 mon4



También tendremos que dejar corriendo el airodump-ng capturando en el mismo canal para poder guardarnos el Handshake y de esta forma poder crackear la contraseña de la red. Una vez la víctima encienda el WiFi se conectará a unos de nuestros 4 puntos de acceso y ya sabremos cual es la configuración de la red. Además de obtener información sobre el AP legitimo, también hemos obtenido un Handshake a partir del cual podremos crackear la contraseña sin haber estado nunca por la zona del AP legitimo.


Podemos ver en la terminal de abajo a la izquierda que es ese el AP al que se ha conectado al victima, y en la terminal de en medio podemos ver como ya tenemos capturado y guardado el Handshake de la víctima. 

Con la captura que tenemos con el handshake realizamos el crackeo con un diccionario de posibles passphrase. 

# cowpatty -f dicc.txt -r cracking-01.cap -s WLAN_23A3


Autor:  Roberto Lopez (@leurian)

jueves, 23 de enero de 2014

Bypaseando captchas de voz. Parte 2

Compartir este artículo:
Buenas a todos, en el anterior post de esta cadena os contamos una posible técnica para saltarse captchas de voz, utilizando el motor sphinx para reconocer las voces de un archivo de audio en formato WAV. Hoy nos gustaría dedicar la entrada a explicaros como es posible añadir, eliminar y modificar las palabras que entienda nuestro reconocedor de voces, ya que dependiendo del captcha ante el que os encontréis, será muy probable que debáis modificar la aplicación para adaptarla.

Si abrimos el script que os presentamos en la pasada entrada de la cadena veréis que se referencia a un archivo *.dic, situado en /usr/share/pockersphinx/model/lm/wsj.


Se trata de un diccionario en el que encontraréis la correspondencia de las palabras que entiene el motor (en inglés, aún no he encontrado ninguno interesante para español), con los fonemas requeridos para pronunciar dicha palabra:


Por tanto, si quisieramos enseñar a la aplicación a reconocer la palabra "EXPENSIVE", deberíamos indicarle separado por espacios sus correspondientes fonemas, "IH K S P EH N S IH V".

La labor de realizar las modificaciones es muy sencilla como veis, pero acertar con los fonemas idóneos para que el sistema produzca los menos falsos positivos es otro cantar.

Os animo a que lo probéis y a que debatamos entre todos los resultados. 

Saludos!





miércoles, 22 de enero de 2014

Entrevista a Jaime Sánchez (@segofensiva)

Compartir este artículo:
Buenas a todos, en el post de hoy os traemos la entrevista que hemos realizado a Jaime Sánchez, de Seguridad Ofensiva.

Para quienes no le conozcáis, Jaime es un máquina de la seguridad, buena gente, y un tipo pecualiar (con todo nuestro cariño :)), nacido en Bilbao, que se subió recientemente a la NcN en Barcelona, con la camiseta del Real Madrid, para enseñarnos como romper el cifrado RC4 que se incorporó hace más de un año al güasap y además propuso incorporar un cifrado adicional. 

Os dejamos con la entrevista, ¡disfrutadla!:

- ¿Quién es Jaime Sánchez?

Pues Jaime es apasionado de la seguridad informática, nacido en Bilbao, que ha estado muchos años trabajando de especialista y asesor para empresas nacionales y internacionales. Un tío inquieto al que le encantan los nuevos retos y desafíos. En la actualidad trabajo en el SOC (Security Operations Center) de una multinacional de las telecomunicaciones, imparto cursos de formación, colaboro y asesoro en algunos proyectos (algunos los compartiré en breve con todo el mundo) y tengo la suerte de llevar casi un año dando conferencias por medio mundo, cosa que me encanta :)

- ¿Cómo es tu día a día Jaime?

Pues mi día a día es un tanto complicado al estar metido en tantos fregaos… Durante mi jornada labora, realizo muchos tipos de proyectos, que tienen que ver con análisis forense, ingeniería inversa, análisis de vulnerabilidades o respuesta a incidentes. Fuera de él la cosa se complica, dependiendo de la fecha. Tantos frentes abiertos ocupan la mayoría de mi tiempo libre y siempre tengo algo que hacer. Mientras escribo estas líneas estoy acabando un artículo para mi blog sobre unas vulnerabilidades nuevas que hemos descubierto en Snapchat, al mismo tiempo que estoy avanzando en las slides de la charla para Shmoocon, para la que queda menos de una semana.


- ¿Qué os hizo investigar en WhatsApp? ¿Por qué crees que está tan de moda whatsapp y su seguridad?

Realmente fue una coincidencia, ya que conocí a Pablo San Emeterio el año pasado en Rootedcon. Yo había leído ya algunos de sus descubrimientos de vulnerabilidades en WhatsApp, y yo acababa de presentar una charla llamada "From Kernel Space to User Heaven", así que se me ocurrió que igual podíamos juntar nuestros trabajos y esfuerzos y hacer algo nuevo. De esta forma tan sencilla salió un trabajo como el que estamos publicando, en el que hemos encontrado muchas vulerabilidades y errores graves.

Probablemente está tan de moda el tema WhatsApp por el gran uso entre los usuarios. WhatsApp no es tan conocido como Facebook o Twitter, pero recientemente ha anunciado que ha sobrepasado los 400 millones de usuarios activos al mes.  La historia de WhatsApp esta llena de errores de seguridad, desde mandar los mensajes en claro o utilizando cifrados débiles, hasta permitir el almacenamiento de todo tipo de ficheros de manera anónima en sus servidores (entre otras muchas).

Todo esto ha cobrado más importancia aún, si cabe, desde el escándalo de PRISM y el espionaje de la NSA. Sólo Microsoft, ¿Google, Apple o Facebook están colaborando con gobiernos para espiar los comportamientos de sus ciudadanos?. ¿podría ser WhatsApp una de estas empresas también? Que cada uno saque sus conclusiones, pero recordemos que la NSA espió 60 millones y medio de llamadas en España tan solo entre el mes de Diciembre de 2012 y Enero de 2013. Esto incluía tanto llamadas telefónicas, como comunicaciones en Internet, correos electrónicos, mensajes en redes sociales etc.


- Cuando diseñaron whatsapp estaba claro que no se pensó en la seguridad, ¿Cómo ves la seguridad a día de hoy? ¿En qué deben mejorar?

Creo que el equipo de WhatsApp aún necesita trabajar y mejorar la seguridad del servicio, y no siempre forzado por la presión de la comunidad de usuarios y prensa después de que se haga público un error de seguridad. Creo que deberían considerar la seguridad como uno de los pilares sobre los que construir la aplicación, y comenzar a tomarse en serio este asunto. Las palabras de su CEO Jan Koum fueron este verano "WhatsApp takes security seriously and is continually thinking of ways to improve our product", ahora sólo les falta cumplirlo.

Creo que podrían mejorar en múltiples aspectos. Nosotros desarrollamos una aplicación, como prueba de concepto, mostrando que un WhatsApp más seguro sí es posible. En ella implementamos una serie de capas de seguridad adicionales, como por ejemplo:

 - Un cifrado más robusto y fácilmente configurable. Podemos implementar otro sistema de clave simétrica, o incluso podríamos desarrollar uno de clave asimétrica. De esta forma si un atacante externo interceptara nuestros mensajes, o cualquier gobierno lo hiciera directamente desde los servidores de WhatsApp, no encontrarían información legible, dado que los mensajes se enviarían cifrados desde el emisor hasta el destinatario.

- Funciones de para dotar las conversaciones de mayor anonimato entre los usuarios, utilizando cuentas falsas o anónimas, así como nodos intermedios.

- Utilizar un servidor propio de XMPP para nuestro uso, redirigiendo todo el tráfico y las conversaciones por él


- ¿Futuros eventos?

Por ahora el más cercano, y del que podemos hablar, es ShmooCon, una convención de hackers que se celebra en América, y organizada por el Grupo Shmoo. El próxima Sábado estaremos dando una charla titulada "Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instant Messaging Platforms". Tiene que ver con la continuación de nuestra investigación sobre clientes de mensajería instantánea para teléfonos móviles, y en particular con WhatsApp, donde hablaremos de posibles ataque de Denegación de Servicio, o posibles implicaciones legales al poder suplantar usuarios.

Hemos encontrado también múltiples vulnerabilidades, que en breve compartiremos con todo el mundo, en otros clientes diferentes. Un avance que ya hemos publicado ya es como, por ejemplo, en Snapchat se permitía suplantar usuarios, entre ellos al equipo de snapchat, para enviar SPAM o floodear cualquier usuario.


- ¿Crees que hoy en día nos vigila el gran hermano? ¿Podemos combatirlo?

Creo que después de la información que se ha publicado en los últimos meses acerca del espionaje de la NSA, esa pregunta no necesita ya respuesta. Tienen hasta un catálogo de productos electrónicos con recursos, desarrollos y accesorios, que ya me gustaría a mí haber podido utilizarlo para mis regalos de Reyes. Los gobiernos han transformado Internet en su plataforma propia de vigilancia masiva. Estamos viviendo una transformación como no se había vivido hasta el momento, ya que no tenemos la absoluta certeza de qué tipo de Gobierno o líder llegará después, y como explotará ese tipo de información.

Creo que es muy dificil impedir que agencias como la NSA y el GCHQ nos espíen, pero sí se pueden añadir una serie de obstáculos para intentar protegernos. Para ello es necesario utilizar alternativas a los servicios de empresas que están bajo la tutela de la NSA, como Google, Apple, Microsoft etc. Muchas de estas alternativas son gratuítas y open source, y gran parte de ellas podemos encontrarlas en la página PRISM-BREAK (https://prism-break.org/es/).


- Internet nació con un pilar que era la privacidad y anonimato, ¿Por qué hoy en día no existen?

Internet y la tecnología ha evolucionado muy rápido en los últimos años, y la expansión hacia el usuario común ha sido aún mayor con el boom de las redes sociales. A pesar de que la gente puede incrementar sus defensas y su nivel de privacidad adoptando controles sobre la información que se publica en sus perfiles sociales, mucha gente o no tiene el conocimiento, no simplemente no lo hace. La sociedad 2.0 ha generado cambios radicales en nuestra sociedad, de los que no somos plenamente conscientes. Cada vez la gente se siente más cómoda no sólo compartiendo más y más información, sino que lo hace de modo más abierto y con más gente.

A esto, además, debemos sumar el interés de los gobiernos por controlar Internet. Agencias de seguridad que espían a ciudadanos, que sólo dicen registrar metadatos, cuando éstos pueden ser más reveladores que el mismo contenido de una llamada telefónica. Gobiernos que espían a otros gobiernos, leyes como la CISPA (Cyber Intelligence Sharing and Protection Act o HR-3523), apoyada por empresas como  Microsoft y Facebook o la Cámara de Comercio de EEUU, que permitiría a empresas que hacen negocios en EEUU recoger datos exactos de nuestra actividad online y entregárselo al gobierno estadounidense, sin notificarnos siquiera. Sin orden judicial, causa legal o debido proceso. Encima, con inmunidad que les blindaría ante posibles denuncias por violación de la intimidad o cualquier otra acción legal.

En este momento el Big Data somos todos, una masa de datos personales basados en la desprotección y desconocimiento del ciudadano, sin sólidas garantías legales, sin el ejercicio de los derechos fundamentales, y con la sensación de la pérdida del papel fundamental de la privacidad en el desarrollo pleno de las libertades


- ¿Qué recomendarías a los jóvenes que están comenzando en el mundo de la seguridad?

Lo primero que les recomendaría es que lean y estudien todo lo que esté a su alcance. Que hay mucha superficie de estudio, y que ni por asomo está todo descubierto. Que prueben y aprendan sobre todo aquello que les interese. Que encuentren algo en lo que disfruten investigando y trabajando. Y que no olviden la formación oficial.

- La última pregunta se la realizamos habitualmente a todos nuestros entrevistados, ¿a quién te gustaría que entrevistásemos?

Dado que ha sido mi compañero de charlas en los últimos meses, puedo asegurar que Pablo San Emeterio sería un perfecto candidato para una futura entrevista :)

martes, 21 de enero de 2014

El 95% de los cajeros en el mundo tienen Windows XP

Compartir este artículo:
La noticia ha salido esta semana, el 95% de los cajeros del mundo tienen el sistema operativo de Microsoft, Windows XP. Hasta aquí una buena noticia para los intereses comerciales de Microsoft, pero la noticia coge morbo e impacto cuando se sabe que el día 8 de Abril Microsoft dejará de dar soporte a este histórico sistema operativo de los chicos de Redmond. ¿Qué pasará entonces?

¿Los cajeros soltarán billetes por las calles sin ton ni son, y algo parecido a lo que pudo ocurrir en el efecto 2000 sacudirá las ciudades? Pues… no. Realmente, es un problema porque el no tener soporte significa que los investigadores de seguridad o "los otros" sacarán nuevas vulnerabilidades que afectarán al sistema operativo y Microsoft ya no hará nada para solucionarlo. De ahí a que los piratas puedan aprovecharse del cajero hay un trecho. Está claro que la posibilidad de que pueda ocurrir algo así existe, pero no es algo sencillo como podrían imaginar algunos medios de comunicación. Será mucho más fácil que los usuarios y empresas que sigan utilizando el sistema operativo sin soporte caigan en las garras de exploits y que acaben siendo parte de una red de zombies. 

Windows sin soporte significa que no existirán parches de seguridad, por lo que el sistema no se actualizará y no se solucionarán los problemas de seguridad. Es realmente un problema como dije anteriormente, pero acceder a la red del cajero, para poder aprovecharse de esta situación, como se puede comprender no será sencillo. 

Sí que es cierto que si eres empleado del banco, serás uno de los principales sospechosos, ya que introducir un malware o aprovecharse de una vulnerabilidad casi que requiere de acceso físico al propio cajero. No sería el primer caso que se diera, eso también hay que comentarlo. Los cajeros suelen estar en una red aislada, por lo que los principales sospechosos de los delitos serían empleados o personal con acceso. 

Se han dado casos de malware en cajeros, por ejemplo un empleado del Bank of America está esperando a ser declarado culpable por instalar malware en los cajeros del banco. Se sospechaba que robó al menos 200.000 dólares

Existen planes para mitigar el impacto de la noticia ya que algunos bancos han decidido adquirir un plus de actualizaciones que Microsoft anuncio, pero que no evita el problema a corto plazo. La transición hacia Windows 7 en los cajeros ha comenzado, tic tac… tic tac…


lunes, 20 de enero de 2014

Crónicas de las I Jornadas de Prevención del Fraude y el Cibercrimen (ANCITE)

Compartir este artículo:
Buenas a todos, este fin de semana se han celebrado las I Jornadas de Prevención del Fraude y el Cibercrimen, organizadas por el Gobierno de La Rioja, a través del Think TIC, junto con la Asociación Nacional de Ciberseguridad y Pericia Tecnológica, ANCITE.

Tuve el placer de intervenir en dos ocasiones en el evento, con una ponencia sobre Pentesting en Android y en una de las mesas redondas del viernes tarde, dedicada principalmente a las perspectivas laborales en el mundo de la seguridad, aunque como en toda mesa de debate, al final nos fuimos por las ramas y acabamos debatiendo sobre si la manzana o la ventanita molan más... :)



La primera charla fue impartida por José Aurelio, que habló sobre "iframes maliciosos". Desgranando su funcionamiento, vulnerabilidades y fallos de configuración que explotan y dando varios ejemplos de malware que hacen uso de estas técnicas para distribuirse.


A continuación llegó la parte de móviles, en las que intervinimos Lorenzo Rodríguez, de Security By Default y Securizame, y un servidor, hablando de seguridad y análisis forense en iOS y en Android, respectivamente. Me gustó mucho esta parte del evento, a parte de porque formé parte de ella :P, porque sin haberlo planeado previamente nos salieron unas charlas que se combinaban muy bien, detallando los mismos puntos para cada plataforma. Además Lorenzo habló de la herramienta LIOS #FF que ha desarrollado para automatizar la extracción de cierta información de un backup de iOS, y que como todo el público presente escuchó, Lorenzo prometió pasármela :) ¡Ahí lo dejo!

Continúo la tarde Javier Berciano de Inteco, hablando de algunos casos que habían llevado a estudio desde Inteco sobre grandes botnets de malware con el apoyo de Kaspersky, entre otros. Una charla muy interesante para comprender como funcionan las botnets de millones de zombis, y como son capaces de perdurar vivitas y coleando en el tiempo.

Tras Javier nos subimos todos los ponentes de la tarde a la mesa redonda, donde hablamos de diversos temas relacionados con las perspectivas laborales en el mundo de la seguridad, características de un experto en seguridad, cómo realizar un proceso de securización en distintos entornos, etc.

Al finalizar las jornadas se nos acercó a Juanillo, a Lorenzo y a mí un lector de nuestros tres blogs que nos pidió que le firmasemos un autógrafo en el portátil. Por la cara de asombro que se nos quedó creo que fue la primera vez que nos ha pasado a los tres algo así, y sin duda es algo que agradecimos, y mucho. La verdad que sabemos que varios miles de personas nos leen cada día porque es algo que vemos en las estadisticas del RSS, y las visitas al blog, pero pocas veces nos paramos a pensar y asimilamos que detrás de ese dato, de ese simple número, hay personas iguales que nosotros que les gusta lo que hacemos, y lo valoran. Muchas veces la única manera que tenemos de saber si os gustan nuestros artículos, las herramientas que publicamos, retos, etc. es a través de vuestros mensajes y comentarios en las redes sociales o en el blog, pero es muy bonito y gratificante que alguien se te acerque después de una charla y te diga, "me encanta lo que haces". Por el lio del viaje he perdido su nombre del rádar, pero envianos un tweet, mensaje o algo para tenerte localizado por favor :) Por cierto, por ahí anda una foto inmortalizando el momento, que les hice a Juanillo y a Lorenzo sujetando el portátil con nuestro nuevo amigo. 

Después nos fuimos de cena a un restaurante que reservó Pedro, de Conexión Inversa, en el que me prometió que habría buenos Riojas y chuletones. Y la verdad que no defraudó :)

El sábado por la mañana me tuve que volver a Madrid por diversos temas y me perdí el segundo día de las Jornadas, pero por lo que pude leer por Twitter y lo que me han comentado los compañeros de ANCITE, fue un éxito rotunto. Por lo que estad atentos porque la organización publicará pronto los videos del evento.

Saludos!

domingo, 19 de enero de 2014

Informe Flu - 159

Compartir este artículo:

Buenas a todos, como cada domingo compartimos con vosotros nuestros “Enlaces de la semana”: 

Lunes 13 de Enero
Martes 14 de Enero
  • El martes RootedCON publicó oficialmente que Flu Project volverá a Rooted CON 2k14: V Edición. Un orgullo enorme para nosotros y que no habría sido posible sin vuestro apoyo :)
Miércoles 15 de Enero
Jueves 16 de Enero
Viernes 17 de Enero
Sábado 18 de Enero

Saludos!

sábado, 18 de enero de 2014

El rincón de HighSec: Como montar nuestro IDS - Parte IV - Instalando Snorby

Compartir este artículo:
Para ver la serie completa pulsa aquí. Habrá conceptos que se den por obvios ya que están explicados en artículos anteriores.

Buenas a todos! En este nuevo post sobre IDS vamos a ver como podríamos instalarnos Snorby tras habernos instalado anteriormente Snort, Banryard y BASE. Lo primero de todo vamos a ver es que Snorby es similar a BASE (explicado en el anterior post), es decir, es un front-end para el IDS Snort que nos permitirá manejar y generar una serie de informes y gráficas con los resultados de una forma muy sencilla y visual mediante un entorno web.

Snorby sigue el mismo funcionamiento que BASE en cuanto a que coge todos los datos generados por Barnyard desde la base de datos dedicada a las alertas de Snort, por lo que voy a obviar volver a explicar lo mismo. Para los que no leyerais el anterior post aqui lo tenéis.
Una vez hemos dicho esto vamos a ver como podríamos instalarlo de forma conjunta con Snort y Barnyard.

Lo primero que tendríamos que hacer seria comprobar que tenemos instalado Apache y todas las dependencias que necesita Snorby.
 
yum install libyaml-devel httpd git ImageMagick ImageMagick-devel libxml2-devel libxslt-devel gcc-c++ curl-devel httpd-devel apr-devel apr-util-devel readline-devel -y

Deberemos instalarnos Ruby ya que sera el lenguaje que utilizara Snorby para ejecutarse como veremos mas adelante.
 
cd /usr/local/src/snort
wget http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p327.tar.gz
tar xvzf ruby-1*
cd ruby-1*
./configure && make && make install

Instalamos la extensión de OpenSSL:
 
cd ext/openssl/
ruby extconf.rb
make && make install

Instalamos las dependencias necesarias:

gem install thor i18n bundler tzinfo builder memcache-client rack rack-test erubis mail rack-mount rails --no-rdoc --no-ri

gem install rake --version=0.9.2 --no-rdoc --no-ri
gem uninstall rake --version=0.9.2.2

Instalamos wkhtmltopdf, necesario para Snorby, que nos permitirá pasar de HTML a PDF.
 
cd /usr/local/src/snort

Para i386:
 
wget http://wkhtmltopdf.googlecode.com/files/wkhtmltopdf-0.9.9-static-i386.tar.bz
tar jxvf wkhtmltopdf-0*
mv wkhtmltopdf-i386 /usr/local/bin/wkhtmltopdf

Para i686:
 
wget http://wkhtmltopdf.googlecode.com/files/wkhtmltopdf-0.9.9-static-amd64.tar.bz2
tar jxvf wkhtmltopdf-0*
mv wkhtmltopdf-amd64 /usr/local/bin/wkhtmltopdf

Definimos el propietario:
 
chown root:root /usr/local/bin/wkhtmltopdf

Ahora ya nos descargamos y configuramos Snorby:
 
cd /var/www/
git clone http://github.com/Snorby/snorby.git
cd /var/www/snorby/config/
cp database.yml.example database.yml
cp snorby_config.yml.example snorby_config.yml
chown -R apache:apache /var/www/snorby

Definimos la contraseña para root de MySQL en caso de no tenerla definida:
 
mysqladmin password snorby

Configuramos el acceso a la base de datos para Snorby:
 
vi database.yml
....
snorby: &snorby
 adapter: mysql
 username: root
 password: snorby
 host: localhost
...

Instalamos Snorby definitivamente:
 
cd /var/www/snorby
bundle install --deployment
rake snorby:setup

Añadimos una entrada a la configuración de Barnyard para que guarde también los resultados que utilizara Snorby:
 
vi /etc/snort/barnyard.conf
...
output database: log, mysql, user=root password=snorby dbname=snorby host=localhost
...

Reiniciamos el servicio de Barnyard para que vuelva a coger la configuración con la entrada que hemos añadido:
 
service barnyard2 stop
service barnyard2 start

Instalamos el modulo Passager para Apache, que también es necesario para la configuración web de Snorby:
 
gem install passenger
cd /usr/local/lib/ruby/gems/1.9.1/gems/passenger-3.0.19/bin
./passenger-install-apache2-module

Configuramos Apache:
 
vi /etc/httpd/conf/httpd.conf
LoadModule passenger_module /usr/local/lib/ruby/gems/1.9.1/gems/passenger-3.0.19/ext/apache2/mod_passenger.so
PassengerRoot /usr/local/lib/ruby/gems/1.9.1/gems/passenger-3.0.19
PassengerRuby /usr/local/bin/ruby
<Directory "/var/www/snorby/public">
           AllowOverride all
           Order deny,allow
           Allow from all
           Options -MultiViews
</Directory>

Reiniciamos el servicio de Apache para que cargue la configuración:
 
service httpd restart

Ahora ya únicamente tendríamos que encender el Snorby para que todo funcionara mediante:
 
cd /var/www/snorby/config/
rails server -e production

Ya tendríamos todo listo para poder utilizar de forma conjunta Snort, Barnyard, BASE y Snorby de tal forma que podríamos administrar nuestro IDS de una forma muchísimo mas cómoda y visual, evitando tener que estar con la linea de comandos, ya que cuando se generan unas cuantas alertas es como imposible seguir el hilo. Aquí os dejo una captura para que veáis como es Snorby ;)
snorby

Espero que os haya gustado el post de hoy, en siguientes post veremos como configurarnos Snort a nuestra manera, creando nuestras propias reglas, utilizándolo como IPS, etc…

Un saludo,

Eduardo – eduardo@highsec.es – @_Hykeos

viernes, 17 de enero de 2014

Wireshark: Más que una pantalla principal (Parte I)

Compartir este artículo:
En muchas ocasiones nos quedamos con lo superfluo, y podemos pensar que herramientas como Wireshark ofrecen simplemente un análisis de paquetes. Pero, precisamente es eso es un analizador y trae muchas funcionalidades que, a priori, podemos no conocer. En su día, impartí un curso sobre herramientas de auditoría, y cuando llegamos a Wireshark los alumnos quedaron sorprendidos de ver las cosas que tiene esta magnífica herramienta.

Wireshark es probablemente uno de los mejores analizadores de tráfico por su coste y calidad para los usuarios. Es una de las herramientas que se deben utilizar en muchas de las auditorías que se pueden llevar a cabo en un proceso de Ethical Hacking. El objetivo principal de la herramienta es mostrar al usuario todo lo que está circulando a través de su tarjeta de red, conocer que está circulando en el mundo al que estamos conectados.

Algunas características principales son:
  • Funciona bajo varias plataformas como Windows, Linux o Mac OS
  • Captura de paquetes on the fly, es decir, en tiempo real. 
  • Información detallada de los paquetes. La gestión de los paquetes se realiza bajo extensiones CAP, PCAP, etcétera.
  • Control de sniffing remoto. Esta característica no es muy conocida por muchos de los usuarios de la herramienta, pero se puede colocar un agente en un equipo y dejar escuchando los paquetes que circulan por dicho equipo y reenviarlos, a modo de espejo, a un equipo dónde se encuentre el auditor.
  • Importación y exportación de paquetes. 
Algo muy utilizado por los usuarios es el filtro de paquetes, el cual se puede realizar desde la propia interfaz de red capture o de pantalla display. La diferencia entre estos tipos de filtros es que el de capture filtra directamente en la interfaz, por lo que los paquetes que no se quieran almacenar no lo serán, y el de display filtra una vez que los paquetes son almacenados en el buffer de Wireshark, o en el fichero CAP o PCAP. En la imagen se puede visualizar como configurar un filtro de captura para solamente almacenar tráfico TCP que se dirija al puerto 80, vamos a hacer la prueba con nuestro sitio web.


Ahora el filtro actúa directamente como si fuera en la tarjeta, en la siguiente imagen podemos visualizar como no existe un filtro de pantalla, y directamente solo se están mostrando en Wireshark (y en un posible fichero CAP que se almacene después) los paquetes que nos interesen. 



Seguiremos viendo funcionalidades de esta gran herramienta en siguientes partes.

jueves, 16 de enero de 2014

Hacking WiFi: Acelerando proceso de cracking WPA/WPA2 (Parte 13)

Compartir este artículo:
Mirando bien los pasos realizado para el cracking podemos darnos cuenta que donde más tiempo se va es en el paso de transformar el Passpfrase en la clave PMK como podeis ver en la imagen:


Lo que haremos será acelerar el proceso indicandole el nombre del SSID y el diccionario para crear un diccionario de claves PMK pre- calculadas. De esta forma ahorraremos tiempo ahorrandonos el paso más cosotoso del proceso. Ahora quedaría de esta forma:

Hay una herramienta llamada Pyrit que sirve para crackear las contraseñas con hardware más potente, como puede ser por ejemplo la tarjeta grafica del ordenador. Ahora lo que haremos será pre-generar el diccionario con la herramienta genpmk con nuestro diccionario de Passpfrase y el nombre del SSID. 

# genpmk -f dicc.txt -s WLAN_23A3 -d pmk-pre-calculadas


Vamos a crackear ahora con el nuevo diccionario:

# pyrit -r prueba-01.cap -i pmk-pre-calculadas attack_cowpatty


Autor: Roberto López
@leurian

miércoles, 15 de enero de 2014

Bypaseando captchas de voz. Parte 1

Compartir este artículo:
Buenas a todos, hace ya algún tiempo durante un proceso de auditoría de seguridad web, me encontré con la necesidad de atacar por fuerza bruta un proceso de autenticación en el que había un captcha. Este captcha tenía la particularidad de que permitía tanto visualizar 4 caracteres sobre una imagen, como escuchar mediante un audio en formato WAV el contenido de esos caracteres con la voz de loquendo.

La imagen con los caracteres del captcha era tan mala, que apenas logré pasarla manualmente, por tanto automatizar un script para saltárselo era casi imposible... En ese momento se me ocurrió hacer uso de un script que había visto en los videos de la PyCon, llamado "python-speechrecognition".

Se trata de un script python basado en Pocketsphinx que permite extraer el texto de un archivo de audio WAV. Os dejo el video a continuación:


El script podéis descargarlo desde este enlace:

import sys,os

def decodeSpeech(hmmd,lmdir,dictp,wavfile):
    """
    Decodes a speech file
    """

    try:
        import pocketsphinx as ps
        import sphinxbase

    except:
        print """Pocket sphinx and sphixbase is not installed
        in your system. Please install it with package manager.
        """

    speechRec = ps.Decoder(hmm = hmmd, lm = lmdir, dict = dictp)
    wavFile = file(wavfile,'rb')
    wavFile.seek(44)
    speechRec.decode_raw(wavFile)
    result = speechRec.get_hyp()

    return result[0]

if __name__ == "__main__":
    hmdir = "/usr/share/pocketsphinx/model/hmm/wsj1"
    lmd = "/usr/share/pocketsphinx/model/lm/wsj/wlist5o.3e-7.vp.tg.lm.DMP"
    dictd = "/usr/share/pocketsphinx/model/lm/wsj/wlist5o.dic"
    wavfile = sys.argv[1]
    recognised = decodeSpeech(hmdir,lmd,dictd,wavfile)

    print "%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%"
    print recognised
    print "%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%"


Para que funcione el script es necesario instalar una serie de dependencias (pocket sphinx):
sudo apt-get install python-pocketsphinx pocketsphinx-hmm-wsj1 pocketsphinx-lm-wsj
En mi caso particular me daba muchos falsos positivos, pero me sirvió para probar de manera práctica que el captcha era vulnerable.

En próximos posts os contaré como hacerle algunas modificaciones para adaptarlo a vuestras posibles necesidades.

Saludos!

martes, 14 de enero de 2014

Rooted CON 2k14: V Edición

Compartir este artículo:
Como en nuestra casa, como suele decir Román (@patowc) "Es vuestro congreso", y así nos sentimos nosotros con él, como si fuera parte ya de nosotros. Estamos encantados de volver a participar en este congreso tan interesante, con tanta gente de calidad, con tanta iniciativa, con tanto talento... Nosotros apostamos por una ponencia que hará pensar a más de uno, o eso esperamos, una ponencia que para bien o para mal no dejará indiferente a nadie, el espectáculo está garantizado... 

Seguiremos expectantes de las noticias que salen, y es que los chicos de la Rooted las sacan con cuenta gotas, eso sí, cuando las sacan... ¡twitter tiembla! ;)

La noticia que esperábamos llegó ayer, y para nosotros, aunque ya intuíamos algo, fue algo que nos hizo sonreír y aceptar el desafío que para nosotros supone superarnos al año pasado.

A todos los ponentes, será un honor para nosotros compartir con vosotros el evento, esperamos disfrutarlo, al menos como lo hicimos ya el año pasado, y sobretodo que la gente recuerde la V Edición de Rooted como la mejor, eso es cosa de los ponentes, pero con el cartel que está y que viene, seguro que la gente disfruta. 

Por otro lado comentaros que ya se ha abierto el registro de asistencia, no esperéis a mañana para lo que podéis hacer hoy. 


Ánimo @rootedcon

lunes, 13 de enero de 2014

Herramientas forense para ser un buen CSI. Parte XLVI: Oxygen Forensic

Compartir este artículo:
Buenas a todos, en la cadena de herramientas forense para ser un buen CSI os hemos hablado largo y tendido sobre cómo recuperar información de manera manual de móviles Android, Blackberry, etc. pero por suerte, los analistas forenses tenemos también a nuestra disposición potentes herramientas que automatizan gran parte de estas tareas. Una de las más importantes es Oxygen Forensic Suite. A grandes rasgos, esta aplicación nos permitirá extraer y analizar la información más interesante de smartphones, móviles, pdas, etc. de una manera rápida y sencilla

Entre la información que podríamos extraer con Oxygen Forensic se encuentran:
  • Mensajes de todo tipo (SMS/MMS/email/etc.) 
  • Backups (incluso protegidos por contraseña)
  • Calendario y registro de eventos
  • Contactos del teléfono, correo, chat, etc.
  • Conversaciones de aplicaciones como whatsapp
  • Fecha y hora
  • Hash
  • Geoposicionamiento
  • Datos del teléfono y de la SIM
  • Datos de grupos de llamantes
  • Anotaciones y tareas
  • Historial de llamadas 
  • Archivos como imagenes, videos, música, etc.
  • Caché del navegador, historial, marcadores, etc.
  • Aplicaciones instaladas
  • etc.
Oxygen Forensic es de pago, pero podemos descargar una versión de evaluación con la que tendremos acceso a algunas de sus funcionalidades principales, entre las que se encuentra la extracción básica de información del dispositivo, la guía telefónica, eventos, mensajes, el calendario, así como acceso a los archivos del terminal.

A continuación os mostramos algunas capturas de un terminal HTC Desire con Android 2.3 analizado con Oxygen Forensic 2013:





Oxygen Forensic soporta más de 1500 modelos diferentes de móvil entre los que se encuentran los de los principales fabricantes del mercado, como Nokia, Motorola, Samsung, Sony Ericsson, Apple, LG, RIM (Blackberry), HTC, HP, Asus, etc. También soporta los sistemas operativos Symbian, Windows, Android, iOS y BlackBerry.

Es interesante comparar la información que podemos extraer con Oxygen Forensic, de la que podemos extraer por otros medios como por ejemplo, rooteando un móvil Android y extrayendo la información por ADB.

Si tenéis oportunidad no dejeis de probarla.

Saludos!

domingo, 12 de enero de 2014

Informe Flu - 158

Compartir este artículo:

Buenas a todos, como cada domingo compartimos con vosotros nuestros “Enlaces de la semana”: 

Lunes 6 de Enero
Martes 7 de Enero
Miércoles 8 de Enero
Jueves 9 de Enero
Viernes 10 de Enero
Sábado 11 de Enero
  • Ayer iniciamos la cadena: Promociona tu blog, para ayudaros a dar a conocer vuestros nuevos blogs de seguridad de la información y hacking ético.

Saludos!

sábado, 11 de enero de 2014

Promociona tu blog

Compartir este artículo:
Hoy hemos recibido un email de esos que te hacen pensar en que la gente lee Flu Project. Nos querían enseñar un blog de Seguridad, y no es el primer email que se recibe así, y siempre es un orgullo recibir cosas así. Animamos a todas las personas que arrancan con un blog y que quieran promocionar su blog a que nos escriban, que nosotros les dejamos un rincón para que otras personas puedan conocerles. 


Por supuesto, hemos echado un vistazo al blog, cada blog de seguridad que surge trae aire fresco a la comunidad, y seguro que cada uno aporta un nuevo punto de vista, un nuevo punto de tratar las cosas, siempre con respeto hacia el resto de la comunidad. 


Desde aquí nace una nueva sección, denominada promociona tu blog, con la que esperamos hacer que la comunidad sea más rica y con muchos distintos puntos de vista en el mundo de la seguridad.