24 mar 2015

OSINT: Buscando personas. Parte 4

Buenas a todos, en el post de hoy de la cadena sobre OSINT, vamos a presentaros un sitio web de lo más interesante para la búsqueda de información sobre personas en Internet, webmii.com.

En webmii podremos buscar a una persona a través de su nombre y apellidos y podremos recuperar numerosa información sobre su vida, gracias a todos los datos que comparte en Internet.

Para que veáis un ejemplo, os mostramos a continuación una búsqueda sobre un servidor, y en la que webmii es capaz de localizar de forma automática información como....:

 Fotos:


Videos:


Noticias:


Blogs:


Redes sociales:


Ranking de visibilidad en Internet:


Como veis una fuente muy interesante para nuestras búsquedas OSINT :)

Saludos!

23 mar 2015

Hack & Beers III #Madrid

Tenemos ya fecha para la tercera edición de Hack & Beers Madrid. El día elegido es el Viernes 17 de Abril de 2015. Recordar que en la pasada edición tuvimos un aforo de 94 personas y esperamos que en esta edición se iguale o se supere. El lugar dónde se celebrará el segundo Hack & Beers Madrid será la calle Infantas 13 (Madrid) 28004, el bar se llama + K Copas, y tendremos un sitio preparado para nosotros, asistentes de la Hack & Beers. Podremos disfrutar de nuestra cerveza mientras escuchamos a los ponentes. El horario de entrada son las 16.30, para que a todos nos de tiempo de llegar después del trabajo. Recordad! Es totalmente gratis la asistencia.

La parada de metro más cercana es la de Gran Vía como se puede ver en la imagen. Por lo que nos han comentado existe la posibilidad de utilizar parking de pago cerca del bar, por si alguno se atreve con el coche. 



La segunda edición tuvo lo que llamamos el Rincón de la Propuesta en la cual recibimos diferentes propuestas de personas que querían exponer en la HB y compartir su conocimiento. En esta edición esperamos que os animéis, como hicisteis en la pasada, y que nos digáis de qué queréis hablar. Esperamos vuestras propuestas en info@flu-project.com. Sugerencias: un ataque que hayas realizado, un bar al que accediste a las cámaras, un nuevo desarrollo que tenga ingenio y se relacione con la seguridad, simplemente tienes una nueva app y quieres mostrarla, o simplemente quieres hablar a la comunidad de algo que crees que es interesante? No dudes y envíanos tu propuesta. El rincón de la propuesta os da un espacio de unos 25-30 minutos para que mostréis lo que queráis. 

En esta edición tendremos como ponentes a:
  • Óscar Tebar (Kifo, infiltrándome, etc etc). La charla que me comentó en su día es interesante, nos hablará de bots? nos hablará de routers? Óscar ha sido ponente en CONs importantes como Navaja Negra o Gsick Minds, ha descubierto diversas vulnerabilidades en routers, y es un pentester puro y duro.  (45 minutos)
  • Daniel García (aKa cr0hn). Nos hará disfrutar con la charla, risa asegurada y conocimiento técnico garantizado. Pilar fundamental de Navaja Negra, cr0hn te esperamos con los brazos abiertos. (45 minutos)
  • Elegido/a del rincón de propuesta, animaros a participar y perder el miedo a exponer. El ambiente os ayudará a exponer y presentar sin miedo! ;) (25-30 minutos)
Para inscribiros os rogamos que os registréis en el Eventbrite, necesitamos indicar al establecimiento un número aproximado de personas.

REGISTRO

22 mar 2015

Informe Flu - 218


Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

Lunes 16 de Marzo
Martes 17 de Marzo
Sábado 21 de Marzo
      Saludos!

        21 mar 2015

        Los mapas de ataques DDoS... ¡están de moda!

        Buenas a todos, últimamente el mundo de la ciberseguridad está de moda, cada vez sale más en los medios, muchas veces con una realidad algo distorsionada, nada que no sepáis, que si hackers-delincuentes por allí, que si mafias por allá... pero si hay algo que de verdad está de moda, son los mapas de ciberamenazas y sobretodo los de ataques DDoS.

        ¿En cuantos eventos, noticias, series de televisión películas, revistas, periódicos, .... habéis vista una captura o video de norse?



        ¿Os suena verdad? Pero Norse no es el único, y otros fabricantes, empresas y organismos en general han desarrollado otros cuadros de monitorización de ciberamenazas DDoS también muy visuales y que quedan de lo más cool en la prensa.

        Por ejemplo, el presentado en el sitio web de Digital Attack Map:



        El de FireEye:



        O este de Prolexic:



        ¿Y vosotros qué otros mapas conocéis?

        Saludos!

        17 mar 2015

        QurtubaCON te necesita

        Buenas a todos, al igual que hicieron los compañeros de SbD la pasada semana, queremos sumarnos al apoyo a Qurtuba CON, en la cual estaremos tanto Pablo, como yo impartiendo sendos talleres.

        Como ya sabréis QurtubaCON, es un nuevo congreso lanzado Miguel Arroyo, Eduardo Sánchez, Enrique Palacios y María José Montes, entre otros miembros de la Asociación Nacional de Profesionales del Hacking Ético (ANPhacket), que se realizará los días 10 y 11 de Abril en Córdoba. Es la primera vez que se realiza, y por ello, necesita el apoyo económico de la comunidad para arrancar, y el de empresas que quieran utilizar Córdoba y Qurtuba como un escaparate para sus productos y servicios.



        El evento de seguridad será completamente gratuito, y contará con conferencias y talleres impartidos por expertos de la categoría de Juan Garrido, David Hernandez, Daniel Medianero, Ángel Pablo Avilés, Óscar de la Cruz, Juan Antonio Calles, Pablo González, Jorge Corona, Lorenzo MartínezRuth Sala, Miriam García y Susana González

        Cómo sabéis, hay ciertos eventos, como Hack&Beers, que podemos realizar sin patrocinios, ya que son quedadas hackers, con pocos recursos y de ámbito local, en los que no hay que invertir en hoteles ya que los ponentes son de la zona, no hay que invertir en local, ya que se suelen ceder bares con salas grandes, no hay que invertir en cartelería, ya que se apuesta por la publicidad online y el "corre ve y dile", pero sin embargo, todos los eventos de tamaño medio/grande requieren una serie de gastos inherentes que se deben sufragar. Y si se apuesta por la gratuidad de las entradas de los asistentes, se requieren patrocinadores para cubrir los gastos de  hotel, viaje y alimentación, cartelería, catering y logística en general.

        Si tu empresa quiere patrocinar, tienes distintas posibilidad que puedes ver en el siguiente enlace: http://qurtuba.es/patrocinar-el-evento/

        Ánimo, nos vemos en Qurtuba CON!


        16 mar 2015

        OSINT: Blacklist y Google Hacking como fuente de información. Parte 3


        Buenas a todos, como muchos ya sabréis llevamos varios años investigando el mundo OSINT, y más de un año desde Zink Security integrando las principales fuentes de información de fuentes abiertas en nuestra tecnología Zink-IT.

        Algunas de las técnicas que utilizamos están basadas en antiguos proyectos como Anubis, con ya 5 años de antigüedad, que utilizaba ciertas búsquedas OSINT con el objetivo de automatizar las labores de Footprint en un proceso de intrusión web.

        Anubis permitía realizar Google Hacking sobre un dominio, lo que permitía extraer los subdominios, listados de páginas alojadas bajo un dominio, así cómo los listados de servidores de DNS utilizados, servidores de correo y un largo etcétera. Este mismo proceso puede ser muy interesante en procesos de ciberinteligencia, para la búsqueda de amenazas entre los dominios de nuestros clientes.

        Pongamos un ejemplo sencillo. Una búsqueda en Google Hacking como la siguiente nos va a permitir conseguir de forma rápida y gratuita, miles de ficheros de texto con listados de direcciones IPs registradas como Blacklist:


        Habrá falsos positivos, por supuesto, pero es una manera rápida y a coste cero de recopilar información de forma sencilla. Programar un script para cruzar las direcciones IP de nuestros clientes contra todos los listados de IPs en blacklist situadas en los resultados de Google es sencillo, ¿verdad? Y de una forma automatizada vamos a poder monitorizar de forma regular (mediante scripts y tareas programadas) si alguno de sus servicios ha sido atacado, sufre malware, utiliza un proxy malicioso, etc. etc.

        Las queries de Google Hacking las podemos afinar mucho más, e incluso cruzarlas con resultados ofertados por Bing y otros buscadores destacados. Lo importante aquí es tomar varias fuentes como referencia.

        Podemos ir afinando poco a poco las queries de Google Hacking, para limitar los resultados (por ejemplo), en los que salga el término IP y HOST, no formen parte de Github (donde encontraréis mucho fichero en texto plano que no os serán de utilidad por tratarse de códigos) o incluso hayan sido fichados o actualizados por Google en el último mes:


        En este punto lo importante es la imaginación del analista para conseguir buenos listados de blacklist.

        También es interesante incluir en los resultados de búsqueda algunas direcciones IP o HOSTs situados en blacklist que ya tengamos fichados, para intentar localizar otros listados donde figure también dicho activo:



        Técnicas como esta son algunas de las centenares de fuentes de información que hemos integrado en Zink-IT. Si os apetece saber más sobre esta tecnología no dejes de visitar la página oficial en:


        Saludos!

        9 mar 2015

        IoT: ¿En qué punto estamos?

        Cuando hemos oído hablar del Internet de las Cosas, siempre nos han contado que todo estará interconectado proporcionando un nuevo modelo de sociedad, dónde veremos nuevas ciudades, con nuevos servicios y posibilidades infinitas. Viendo algunos ejemplos de ciudades inteligentes en las que en función de la persona que se acerca a un cartel se cambia la publicidad que se muestra, un servicio de basuras en el que los contenedores avisan a las centrales de cuando los límites del contenedor están cercanos, un despertador que nos despierta y se conecta a la nevera para saber si tenemos que comprar comida y, además, se conecta a nuestro coche para saber si debemos echar gasolina, o un sistema de riego el cual funciona de forma inteligente en función de la temperatura que se tiene en la ciudad. Todos tenemos claro que el Internet de las Cosas está cambiando, y terminará cambiando la sociedad tal y como la conocemos, pero también debemos tener en mente que existen unos riesgos que debemos entender y a los que debemos enfrentarnos. Algunas de las cosas mencionadas ya existen, otras terminarán llegando, pero tenemos la tecnología para que sea posible.

        Principalmente, y esto es una opinión que cada uno puede tener, podemos visualizar riesgos que afectan a la privacidad del consumidor y riesgos que afectan a la seguridad de la sociedad como ente consumidor. Muchos de los dispositivos que empezamos a tener conectados a Internet, como neveras, televisiones inteligentes o relojes, envían información de los hábitos de uso de sus propietarios con lo que se puede realizar una recolección de información y un profiling muy valioso para empresas, entidades de marketing, incluso gobiernos. Como ejemplo podemos incluir el de los casos de Smart TV que envían información de los programas que ven sus propietarios, de la navegación que realiza con la televisión, incluso se accede a los nombres de los archivos de los discos duros que se enchufan al televisor. Este ejemplo se destapó en el año 2013, cuando la marca LG aceptó que recopilaban este tipo de información, incluso cuando la función de recolección de información estaba deshabilitada. Esto supuso un gran escándalo, ya que aunque el usuario no quisiera compartir dicha información, ésta se compartía. 

        En Junio del 2014 se publicó un ataque a Smart TV que podía afectar a millones de televisiones inteligentes. La condición es que fueran hbbTV y el ataque se conoció como botón rojo. El paper indica que el ataque no es de alto coste, ya que se necesitarían alrededor de 400 dólares, y tendría un alcance de 20.000 dispositivos. La idea fundamental es la inserción de código en cualquier sitio web a elección del usuario malicioso, haciéndose pasar por un proveedor. En términos simples, el ataque consiste en interceptar la señal que viaja por el aire del proveedor, manipularla y volver a emitirla para que llegue a los televisores. No se puede verificar la política del mismo origen. Estaríamos en un escenario de MiTM, el cual se puede juntar con un drone para barrer un área grande y realizar un ataque masivo contra televisiones inteligentes. 

        El mes pasado, a principios de Febrero de 2015, nos hicimos eco de una noticia que salpicaba a la marca Samsung y sus televisores inteligentes. La funcionalidad que permite a los usuarios ejecutar acciones simplemente indicando a la televisión acciones con la voz, hace que la televisión esté constantemente escuchando lo que el usuario dice. Además, estos comandos de voz no son solo procesados por la televisión, ya que son enviados a servidores de terceros, lógicamente con otros fines. Si comparamos con los smartphones o con nuestros portátiles están realizando más o menos la misma función, ya que cuando nosotros estamos teniendo una conversación vía teléfono o vía skype, por ejemplo, nuestros dispositivos también nos escuchan. El problema viene que seguramente no sabemos cuando nos están escuchando, o que hacen con la información que escuchan. Por ejemplo, el sistema Siri de Apple puede estar constantemente escuchando con la opción "hey siri" u "oye siri". Además, la aplicación de Facebook puede habilitarnos el micrófono en cualquier momento mientras estemos utilizando la aplicación. No solo con lo que hablamos, si no también con lo que escribimos, el tema de la publicidad de Facebook o Gmail, parece que nunca estamos solos. Samsung indicaba en su política de uso que enviarían los datos a un tercero, la empresa Nuance, la cual convertía la voz a texto. Es cierto que Samsung promete que elimina esta información de inmediato, aunque la mayoría de las empresas que hacen esto almacenan la información durante gran cantidad de tiempo en sistemas de Big Data. Por supuesto, almacenar esta información puede ser un gran riesgo, ya que cada día observamos incidentes de seguridad y acceso a información privada y de consumidores. ¿Están las empresas haciendo un mal uso de la información? ¿Están las empresas poniendo en riesgo la información de sus consumidores? Samsung cita en su política de privacidad:
        Por favor, tenga en cuenta que si sus palabras habladas incluyen información confidencial personal o de otro tipo, será capturada y transmitida a un tercero a través de Internet y se hará reconocimiento de voz sobre ella.
        Figura 1: Política de privacidad
        No todo son televisiones, hoy en día han entrado ya en juego, y mucho, los coches. Los coches más inteligentes que ya se encuentran en el mercado aportan funcionalidades para recoger información como velocidad, posición del volante, presión de neumáticos, presión del pedal, rutas por las que viaje el coche, etcétera. Son datos que pueden resultar de más o menos interés, pero que se recogen, y que para un profiling de una persona puede ser utilizada. Además, existen otras funcionalidades que ya pueden hacerse en remoto, como es la apertura de puertas del coche, encender un vehículo, o conectar otros dispositivos al vehículo. ¿Dónde está el limite con la seguridad de los ocupantes del vehículo? 

        Podemos también comentar sobre relojes inteligentes, pulseras que recopilan información de nuestro ritmo cardíaco, que trackean por dónde nos movemos, por dónde salimos a correr, las calorías perdidas, etcétera. Después, esta información es subida a Internet y perdemos el control sobre ella. Además, en muchas ocasiones esta información es pública sin que el usuario sepa que esto ocurre, y poniendo en riesgo la privacidad de sus itinerarios por los que sale a correr.

        Sí, el IoT afecta a la privacidad del consumidor debido a la recopilación de información de éste, de sus hábitos, de sus acciones, de sus gustos, esto puede afectar a la generalización del modelo IoT, ya que un usuario puede perder la confianza. La pérdida de confianza puede provocar que IoT no llegue a amoldarse en nuestras vidas, aunque las grandes marcas están haciendo grandes esfuerzos por introducir este tipo de dispositivos que conforman parte del ecosistema IoT. La seguridad es el otro gran factor que IoT debe cumplir, una seguridad por diseño que esté presente en la construcción de los sistemas y dispositivos que formarán parte de este gran ecosistema ubicuo. Hoy en día, existen empresas que no tienen en cuenta este requisito de la sociedad y, seguramente, serán penalizadas con la pérdida de confianza por parte de los usuarios. La seguridad poco a poco se ha convertido en un requisito innegociable, tanto para empresas como para usuarios de a pie. En la parte de seguridad tenemos a proveedor de Software y Hardware con gran cantidad de años de ventaja en estos desarrollos, los cuales aportan su experiencia, pero por el contrario tenemos a nuevos desarrolladores y empresas que se introducen en este mundo sin experiencia previa, y no tienen la seguridad de los dispositivos entre sus principales objetivos. Por otro lado, otra de las cuestiones a tener en cuenta es que algunos de los dispositivos son pequeños y tienen recursos muy limitados, por lo que su capacidad de cómputo y recursos son bajos, y en muchas ocasiones su bajo coste hace que sean desechables, teniendo una difícil actualización en caso de encontrarse una vulnerabilidad en alguno de ellos.   

        Por supuesto, algunas de las cosas que se piden a las empresas es que utilicen lo que se conoce como seguridad por diseño y utilicen buenas prácticas en el ciclo de desarrollo del software o de los componentes. Otra de las cosas que se piden es minimizar la exposición de datos de los consumidores, o que se utilicen algunas medidas que hagan transparente el cómo se utilizan los datos de los usuarios. 

        Como conclusión humilde, sencilla y simple, ¿Deberíamos regular los sistemas que escuchan? ¿Deberíamos regular el uso de la información que estos sistemas que nos rodean realizan de nuestras conductas, de nuestros hábitos, de nuestra forma de vida? Quizá hay demasiados agentes a nuestro alrededor recopilando información sobre lo que hacemos en el día a día, empezamos con ordenadores, continuamos con los smartphones y se han ido incorporando las televisiones, neveras, vehiculos... Suficiente información como para realizar un profiling de una persona exhaustivo, ¿Fantasía o realidad? 

        5 mar 2015

        Nuevos cursos de seguridad de la información en Valencia


        Buenas a todos, los próximos días 28 de Marzo y 18 de Abril impartiremos nuevos talleres de ciberseguridad en Valencia, con el apoyo del Centro de formación TAES.

        Estas dos nuevas formaciones serán realizadas como en anteriores ocasiones, en sábado, con el fin de que puedan ser compatibilizadas con el trabajo:

        Auditoría de Seguridad Externa (28 de Marzo)

        Nuestra formación en Auditoría de Seguridad Externa le permitirá aprender los aspectos clave de los procesos de hacking ético seguidos para evaluar la seguridad de las aplicaciones y los servicios web publicados en Internet. Estos aplicativos son susceptibles de recibir ataques por parte de usuarios con intenciones maliciosas. Este tipo de ataques pueden suponer pérdidas económicas para un organismo, así como afectar a la imagen corporativa hacia sus clientes.

        Las vulnerabilidades de los aplicativos web pueden ser originadas por defectos en el diseño y/o en la implementación de las aplicaciones, y de las medidas de control de acceso, validación y saneamiento de los datos de entrada.

        Ethical Hacking (18 de Abril)

        El hacking ético es cada día más solicitado por las empresas. En este training, orientado a la práctica del hacking, podrás introducirte y sentar bases en los tipos de auditorías, en la forma de trabajo, en cómo llevar a cabo auditorías y como se debe presentar los resultados de éstas. El alumno obtendrá una visión global del hacking ético, profundizando en ciertas partes prácticas de auditorías. El training es eminentemente práctico.
        Para registraros o recibir más información sobre las formaciones podéis acceder al siguiente enlace:

        http://www.taesformacion.es/formacion/cursos-especializados/seguridad-informatica-ciberseguridad/

        HORARIOS
        • Sábado 28 de marzo y 18 de Abril de 2015
        • De 10:30h a 14:00 h
        • 15:30h a 20:00 h
        PRECIO
        • Precio: 160€
        • Precio socios de ANCITE (Asociación Nacional de Ciberseguridad y Pericia Tecnológica): 100€. Además, descuento de 60€ en la cuota de alta de la asociación por inscribirse al curso.
        • 50% de descuento para estudiantes (adjuntar justificante)
        • Curso Bonificable a través de la Fundación Tripartita
        • Comida incluida
        LUGAR
        • TÉCNICAS AVANZADAS DE ESTUDIO S.L. Pasaje Ventura Feliu 10-12
        • Para inscripciones dirigirse por email a taes@taesformacion.es o al teléfono 963413537
        Os esperamos en Valencia,

        2 mar 2015

        El 10 y 11 de Abril estaremos en #Qurtubacon

        Buenas a todos, los próximos días 10 y 11 de Abril de 2015 tendrá lugar el evento Qurtuba Security Congress.

        Se trata de la primera edición de un nuevo evento de ciberseguridad celebrado en Córdoba y organizado por nuestros amigos de Hack&Beers, en el que habrá ponencias y retos de lo más interesantes.

        Por el momento no han sido revelados la mayor parte de los contenidos del evento, pero ya se encuentra abierto el plazo de inscripción. Y os recomendamos que os apuntéis rápidamente porque ya hay más de 200 inscritos y las plazas son limitadas.

        El registro a Qurtuba es totalmente gratuito :), por lo que no tenéis excusas para inscribiros.

        Tanto Pablo como un servidor estaremos en el evento dando sendas charlas sobre ciberseguridad.



        Más información y registro en: www.qurtuba.es

        1 mar 2015

        Informe Flu - 216


        Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

        Lunes 23 de Febrero

        Martes 24 de Febrero

        Jueves 26 de Febrero
        Viernes 27 de Febrero
            Saludos!