lunes, 29 de junio de 2015

Auditando con Nikto

Compartir este artículo:
Buenas a todos, en el post de hoy quería hablaros del software Nikto, un interesante escáner que podremos utilizar para auditar servidores web. Tiene licencia GPL y realiza numerosos tests gracias a sus plugins que podéis ir actualizando.

Nikto puede ser descargado desde el siguiente enlace:


A continuación os listo las funcionalidades completas indicadas en la web del desarrollador:
  • SSL Support (Unix with OpenSSL or maybe Windows with ActiveState's
  • Perl/NetSSL)
  • Full HTTP proxy support
  • Checks for outdated server components
  • Save reports in plain text, XML, HTML, NBE or CSV
  • Template engine to easily customize reports
  • Scan multiple ports on a server, or multiple servers via input file (including nmap output)
  • LibWhisker's IDS encoding techniques
  • Easily updated via command line
  • Identifies installed software via headers, favicons and files
  • Host authentication with Basic and NTLM
  • Subdomain guessing
  • Apache and cgiwrap username enumeration
  • Mutation techniques to "fish" for content on web servers
  • Scan tuning to include or exclude entire classes of vulnerability checks
  • Guess credentials for authorization realms (including many default id/pw combos)
  • Authorization guessing handles any directory, not just the root directory
  • Enhanced false positive reduction via multiple methods: headers,
  • page content, and content hashing
  • Reports "unusual" headers seen
  • Interactive status, pause and changes to verbosity settings
  • Save full request/response for positive tests
  • Replay saved positive requests
  • Maximum execution time per target
  • Auto-pause at a specified time
  • Checks for common "parking" sites
  • Logging to Metasploit
  • Thorough documentation
Nikto se encuentra disponible en algunas distribuciones de auditoría como Kali Linux, pero también podremos descargarlo desde la web que os hemos indicado anteriormente para utilizarlo en otros sistemas operativos. 

Una vez descomprimido el zis donde se encuentras la herramienta, tendremos que ejecutar el script "nikto.pl":



Para comenzar un escaneo sencillo, podremos utilizar el siguiente comando:
>nikto -h <IP_o_DOMINIO_auditado>
Con el parámetro -p podremos añadirle un puerto, por si el aplicativo se encontrase en otro puerto tipo Tomcat, 8080, etc.

>nikto -h <IP_o_DOMINIO> -p <PUERTO>
Podremos indicar todos los puestos que precisemos, separados por comas (al estilo NMAP).

Por defecto Nikto intentará escanear HTTP, pero si queremos forzar un análisis SSL, tendremos que añadir el flag "-ssl". 

Una utilidad a tener a mano en un proceso de audoría.

Saludos!

viernes, 26 de junio de 2015

Buscando contraseñas con Google Hacking

Compartir este artículo:
Buenas a todos, en el post de hoy me gustaría hablaros sobre la exposición de numerosos sistemas de "cifrado" de contraseñas que utilizan infinidad de servicios web de Internet.


Por gracia o por desgracia (dependiendo de si nos toca auditar.... o proteger :P), md5 sigue siendo un estándar utilizado a la hora de hashear contraseñas para almacenarlas en base de datos, a pesar de que md5 lleva roto dos décadas... Fue desarrollado en 1991 como reemplazo de md4 después de que Hans Dobbertin descubriese su debilidad, pero solo tuvo la oportunidad de ser considerado 100% seguro durante 5 años, hasta que en 1996 el mismo Hans Dobbertin anunciase una colisión de hash. Hoy en día, mediante rainbow tables y fuerza bruta es posible romper md5 en un tiempo aceptable (en comparación con otros algoritmos como SHA1 o SHA256).


Si queréis saber más sobre md5 os recomiendo este genial libro de Manuel J. Lucena, del que soy muy fan desde que me ayudó a aprobar criptografía en la facultad y a dominar numerosos algoritmos criptográficos :)

Volviendo al origen del post, vamos a buscar algunas exposiciones de distintos sitios web encargados de la generación y/o el almacenamiento de contraseñas bajo md5.


Con una búsqueda tan simple como la anterior en Google, podremos encontrar más de 3.500 scripts SQL en los que aparecen sentencias "select", con las palabras md5 y password o pass. Dentro de todos ellos encontraremos desde procedimientos almacenados y funciones, hasta triggers, sentencias de inserción.... cada script es un mundo.

Si escogemos algunos al azar podemos ver que muchos programadores han decidido realizar la lógica de generación de hashes en el propio código SQL, en lugar de en el código del servidor web, como por ejemplo PHP. No es una práctica que aminore la seguridad, en absoluto, siempre y cuando dichos scripts no acaben en Internet...


Así que consejo número uno, cuidado de donde almacenáis las contraseñas y cómo las almacenáis. Consejo número dos, revisad los permisos de los archivos y carpetas de vuestros servidores, para impedir que ciertos archivos acaben en Internet y si es posible, limitad también que se puedan exponer archivos con ciertas extensiones críticas, como por ejemplo "sql". Y por supuesto, ¡comenzad a olvidar md5, en favor de otros algoritmos más robustos como SHA256!

Saludos!

jueves, 25 de junio de 2015

Formación Valencia: Hacking web y Pentesting con Kali en Taes

Compartir este artículo:
Para los que vivís en Valencia o cerca de allí Taes ha lanzado un par de cursos especializados en seguridad informática. El primero de ellos se imparte el 11 de Julio de 2015 y trata sobre hacking web. El docente es Rafa Sánchez @R_a_ff_a_e_ll_o con el que se verán los siguientes contenidos:
  • Perspectiva y enfoque del atacante
  • Reconocimiento y fingerprinting
  • Descubrimiento de vulnerabilidades
  • Explotación de vulnerabilidades
El segundo de los cursos será el Sábado 19 de Septiembre de 2015 y trata sobre cómo utilizar Kali en el Pentesting. El docente es Pablo González @pablogonzalezpe con el que se verán los siguientes contenidos:
  • Fases del test de intrusión
  • Kali Linux
  • Recogida de información
  • Análisis de vulnerabilidades
  • Explotación
  • Forense en Kali
  • Ataques de red en Kali
En el segundo curso el alumno puede conseguir el libro Pentesting con Kali de la editorial 0xWord. Los cursos tendrán lugar en Pasaje Ventura Feliu 10-12, Valencia.

miércoles, 24 de junio de 2015

Hoy da inicio el FesTICval de la URJC

Compartir este artículo:

Como cada año, la Universidad Rey Juan Carlos de Madrid nos trae el FesTICval, un evento para formar a jóvenes talentos de secundaria y bachillerato con ganas de aprender sobre el mundo de las TIC.

Este año estaremos de nuevo prestando nuestro apoyo para enseñar a los jóvenes los secretos de la búsqueda en fuentes abiertas, e ilustrarles la cantidad de información que podría recuperarse con un simple navegador web y unos cuantos conocimientos sobre esta interesante temática.

Lo organizan las Escuelas de Ingeniería Informática y de Telecomunicación en los Campus de Móstoles y Fuenlabrada de la URJC y es totalmente gratuito.

Este año, en su octava edición, el FesTICval tendrá lugar del 24 al 26 de Junio de 2015, en los campus de Móstoles y Fuenlabrada de la URJC.
Aunque tenía pensado asistir, este año me ha coincidido con otro evento en Barcelona, por lo que irá en mi lugar mi compañero Jesús Alcalde:
Miércoles 24 de Junio – Campus de Móstoles



10h – 12h  Seguridad: Apatrullando la ciudad… red
Objetivos: Flu Project, junto con ZinkSecurity, nos enseñarán la búsqueda en fuentes abiertas, exprimiendo buscadores como Google o Bing para encontrar cosas curiosas, como webcams, impresoras conectadas a Internet, datos de organismos, etc. Se trata de uno de los trabajos típicos que realiza un auditor de seguridad y hacking ético, visto desde un nivel técnico bajo, para que sea comprensible por todos, dando a conocer la profesión.
Metodología: Tras una breve introducción teórica se irán introduciendo numerosos ejemplos que podrán probar de forma práctica los asistentes en el aula.
10h – 11h  Experimentos de Física para TIC
Objetivos: Se trata de descubrir las instalaciones de los diferentes laboratorios de física y explicar su funcionamiento. Acercarse a la física de forma lúdica, desde los experimentos prácticos.
Metodología: Se hará una corta visita de las instalaciones y luego se presentarán algunos experimentos lúdicos de física, algunos con la participación de los asistentes, con una breve explicación previa de los principios físicos.
11h – 12h  Visita a la Cueva de Realidad Virtual
Objetivos: Conocer las tecnologías de realidad virtual con experiencias prácticas.
Metodología: Tras una breve introducción teórica sobre los fundamentos de la realidad virtual y sus aplicaciones, se pasará a realizar unos ejercicios prácticos con los participantes en la cueva inmersiva de realidad virtual.
12h – 14h  Cómo ser un buen Tester de Videojuegos
Objetivos: La industria de los videojuegos mueve millones de euros al año. Un buen videojuego se crea a partir de desarrolladores, artistas, técnicos de sonido y probadores. Los probadores analizan los videojuegos en sus versiones más tempranas y finales con el fin de buscar errores, mejoras, analizar la calidad y jugabilidad del juego, etc. El objetivo principal de esta actividad es que los participantes sean capaces de analizar de manera crítica los videojuegos y gráficos del mercado.
Metodología: Primero habrá una sesión teórica donde se explica qué es un “tester de videojuegos” y los conceptos a analizar dentro de un videojuego. A continuación, los alumnos llevarán a la práctica los conceptos aprendidos jugando por grupos con diferentes sistemas de ocio, y analizando todos los aspectos explicados.
12h – 14h  Taller de Kinect para XBOX360, de los videojuegos a la ciencia
Objetivos: Introducir conceptos propios de la visión artificial de una manera didáctica y amena a través de un dispositivo orientado al ocio como Kinect para XBOX 360. En particular, se describirán conceptos de formación de la imagen, formación del color, visión estereoscópica, espectro electromagnético (espectro visible, infrarrojo y ultravioleta), cámara time of flight, movimiento articulado, análisis de la profundidad y técnicas de sustracción de fondo para videovigilancia.
Metodología: A través de un sistema compuesto por un PC de consumo, una cámara de espectro infrarrojo y un dispositivo Kinect para XBOX 360 se demostrará el funcionamiento de este último de forma grupal en un aula dotada con sistema de proyección. Se prestará especial atención a las partes constituyentes y la física que sustenta al Kinect, dispositivo muy conocido entre la audiencia prevista por su uso en videojuegos.
15h – 18h  Torneo de Videojuegos
Objetivos: Pasar un rato divertido jugando a videojuegos en red.
Metodología: Se hará una pequeña competición con premios para los ganadores.
15h – 17h  XBOX360 por dentro y reparación
Objetivos: Las videoconsolas Xbox 360 esconden una arquitectura de última generación que merece la pena analizar. El objetivo de esta charla es que los alumnos vean lo que esconde en su interior una Xbox360, sus componentes y su arquitectura que hacen que sea una de las videoconsolas más vendidas del mercado.
Metodología: El taller consistirá en una breve explicación sobre la arquitectura básica de los ordenadores. A continuación, se desmontará una videoconsola (de la manera adecuada que no produzca ningún daño a la máquina) para que los asistentes puedan observar en directo qué hay dentro de la videoconsola y cómo repararla.
Jueves 25 de Junio – Campus de Móstoles






10h – 12h  Rebeca a través del espejo: Cómo crear juegos y animaciones 3D
Objetivos: En esta actividad se pretende acercar el mundo de la programación de videojuegos y animaciones 3D a los jóvenes mediante el uso de un software creado por alumnos de la ETSII.
Metodología: Los alumnos tomarán contacto con la programación orientada a objetos mediante la creación de videojuegos interactivos y las animaciones 3D (que pueden subir a internet) con un software especialmente diseñado para ellos. Al comienzo del curso se realizarán un pequeño conjunto de tutoriales para familiarizarse con la herramienta y después podrán crear sus propios trabajos.
10h – 12h  ¿Puedes tocar cosas que no existen? Taller de Tecnología Háptica
Objetivos: La tecnología háptica permite añadir una nueva dimensión sensorial a las aplicaciones informáticas y de realidad virtual: ya no sólo podemos ver y escuchar, sino también TOCAR. En este taller se mostrará de forma práctica el uso de dispositivos hápticos para interactuar táctilmente con escenarios de realidad virtual y videojuegos.
Metodología: Una breve charla introducirá la tecnología háptica y su estado de desarrollo actual, incluyendo la investigación puntera que se está realizando en este campo en la Universidad Rey Juan Carlos. A continuación, los asistentes podrán utilizar los dispositivos hápticos con una gran variedad de videojuegos.

12h – 14h  Taller de Programación para Móviles ANDROID
Objetivos: Acercar al alumno a la novedosa y reciente tecnología de desarrollo de  aplicaciones para Android. Esta tecnología permite a usuarios sin conocimientos importantes en programación construir de manera visual, rápida y fácil una aplicación informática para tu móvil Android. Se realizan actividades prácticas de tal forma que el alumno genera su propio programa.
Metodología: Se comienza dando una panorámica breve de las características de los dispositivos móviles y de las principales tecnologías en computación móvil. Después los alumnos desarrollan una actividad práctica en parejas a partir de un material parcialmente realizado. Esta actividad consiste en completar un programa y probarlo incluso en el propio móvil  Android del alumno.
12h – 13h  Visita a la Cueva de Realidad Virtual
Objetivos: Conocer las tecnologías de realidad virtual con experiencias prácticas.
Metodología: Tras una breve introducción teórica sobre los fundamentos de la realidad virtual y sus aplicaciones, se pasará a realizar unos ejercicios prácticos con los participantes en la cueva inmersiva de realidad virtual.
13h – 14h  ¿Real o Modelado?
Objetivos: Ayudar a los jóvenes a distinguir las imágenes reales (fotografías) de aquellas que han sido retocadas por ordenador o analógicamente, además haremos una breve incursión en nuevas tendencias contemporáneas en el arte en el que el realismo vuelve a ser el motor principal.
Metodología: Los alumnos participarán en una exposición interactiva a modo de concurso de equipos en el que se les reta para adivinar si las imágenes son reales o han sido manipuladas. Durante el transcurso de la exposición se les contará qué técnicas digitales y de síntesis de imagen se utilizan en películas, juegos de ordenador y fotografías para que sean capaces de distinguir las imágenes reales de aquellas con las que se les trata de engañar.
15h – 18h  Torneo de Videojuegos
Objetivos: Pasar un rato divertido jugando a videojuegos en red.
Metodología: Se hará una pequeña competición con premios para los ganadores.
15h – 17h  Taller de Montaje de ordenadores
Objetivos: Conocer la arquitectura interna de un PC, identificación de componentes, procedimiento de resolución de averías y sustitución/ampliación de componentes.
Metodología: Primero se impartirá una charla teórica en la que se explicarán los fundamentos básicos de la arquitectura interna del PC, y finalmente, se realizarán ejercicios prácticos de montaje y desmontaje siguiendo los procedimientos anteriormente explicados.
17h – 18h  ¿Cómo ser vlogger?
Objetivos: Que los alumnos conozcan esta nueva "profesión", en la que los vloggers se ganan la vida creando contenido para Internet.
Metodología:



Tras una breve introducción a la evolución de Internet, se irá descubriendo cómo crear contenidos, con aspectos como los derechos de imagen y de autor, Creative Commons, Canon AEDE, los tipos de redes sociales, etc . El enfoque del taller es eminentemente práctico, explorando herramientas como Vimeo, Vime y YouTube para producir contenidos a bajo coste.
Viernes 26 de Junio – Campus de Fuenlabrada



10:30h – 11:30h  Medidas de radiación electromagnética. Antenas y Ondas
Objetivos: Mostrar a los alumnos que los campos electromagnéticos nos rodean, conviven con nosotros. Qué dispositivos generan esos campos electromagnéticos: móviles, microondas, radios etc y qué elementos tenemos para detectarlos: Antenas.
Metodología: Utilizaremos diferentes dispositivos emisores de radiación electromagnética, y comprobaremos con un analizador de espectros y diferentes tipos de antenas cómo medirlos y qué energía están radiando. Mediante interacción con los alumnos se irá desarrollando este taller. Se darán las nociones básicas de construcción de una antena yagi con una lata de patatas “pringles”, antena utilizada en la emisión recepción de frecuencias WiFi. Si el tiempo lo permite se realizará un enlace WiFi entre antenas utilizando paneles solares como alimentación emulando los proyectos que profesores de la ETSIT realizan en el Alto Amazonas.
11:30h – 12:30h  Taller Laboratorio de Telecomunicaciones
Objetivos:


Conseguir que los alumnos se familiaricen con un típico laboratorio de Telecomunicaciones. Que manejen de forma básica equipos tales como osciloscopios, generadores de ondas etc, que hasta el momento no han tenido oportunidad de conocer y experimentar por ser instrumentación de gran coste y alta tecnología. (Preferiblemente alumnos de Bachillerato)
Metodología: Cada alumno (o por parejas) dispondrá de un puesto de trabajo con varios equipos: osciloscopio digital, multímetro, generador de señales y ordenador personal. Se utillizará el osciloscopio para ver varias señales y ondas de diferentes formas, así como el efecto de varios elementos de electrónica que irán conformando circuitos: diodos, condensadores, resistencias….
12:30h – 13:30h  Robots Voladores: principios de vuelo, control y aplicaciones
Objetivos: Familiarizar a los asistentes con los robots voladores y sus aplicaciones.
Metodología: La actividad consistirá en un seminario interactuando con los asistentes en el que se explicaran los principios del vuelo y del control de los este tipo de máquinas, seguido de demostraciones con un AR.Drone controlado mediante un iPad o un iPhone.
13:30h – 14:30h  Registra el ritmo de tu corazón en tu iPhone
Objetivos:  Conocer cómo funciona tu corazón, observar con detalle un sistema wireless que permite registrar la actividad cardíaca eléctrica y enviarla a un Iphone y la posibilidad de probar el sistema: registra tu propio ECG.
Metodología: Se utilizará un sistema wireless de registro de la actividad cardíaca que dispone de dos elementos fundamentales: (1) uno nodo Shimmer que recoge la actividad eléctrica cardíaca mediante electrodos convencionales y realiza un procesado de señal básico. Este nodo posee un chip Bluetooth que permite enviar la señal eléctrica a un Smartphone. (2) Un Iphone/Ipod que se conecta mediante Bluetooth al nodo Shimmer, recoge la señal de ECG y la representa en la pantalla. La App del Iphone presenta información básica sobre el ECG; delineado de las ondas principales y ritmo cardíaco.
Más información y registro en: http://urjc.es/festicval

martes, 23 de junio de 2015

KPMG integra la firma de ciberseguridad Zink Security

Compartir este artículo:

Muy buenas a todos, como muchos ya sabréis por la información publicada en prensa en el día de ayer, desde el comité de dirección de Zink Security hemos llegado a un acuerdo con la compañía KPMG para integrarnos dentro de la firma con el fin de reforzar su área de ciberseguridad y seguir ampliando sus capacidades en dicha materia.

Dentro del proceso de integración, todo el equipo y tecnologías de Zink Security han sido ya incorporadas a la firma KPMG, donde desde la pasada semana he tomado el papel de Senior Manager responsable de los proyectos de ciberseguridad de KPMG España, dentro del equipo de Marc Martínez y Fco. Javier Santos.

Es para mi un enorme placer formar parte de este nuevo equipo dentro de la compañía liderada por John Scott, que nos permitirá seguir expandiendo las capacidades y el alcance de las tecnologías que comenzamos a gestar desde la jóven Zink.

Aprovecho el post para daros las gracias a todos los que nos habéis contactado estos días para enviarnos vuestros mensajes de felicitación, a todo el equipo de Zink (Gonzalo, Jesús, Álvaro...) y a todos los que nos habéis apoyado durante estos años, y que habéis confiado en ese pequeño equipo de hackers, que desde nuestro humilde cuartel mostoleño hemos luchado por sacar adelante nuestro sueño, sois muy grandes :)

¡Un abrazo!

Os dejo a continuación una versión reducida de la nota de prensa publicada en El Economista:
Prosigue la estrategia mundial de reforzar este área mundial a través de compras de compañías especializadas 
La firma de servicios profesionales KPMG ha dado un paso adelante en su estrategia por reforzar el área de ciberseguridad. En este sentido, la compañía presidida en España por John Scott ha integrado a la firma Zink Security, especializada en la vigilancia digital. Además, KPMG también integrará al equipo que compone Zink -que está liderado por Juan Antonio Calles-.

A través de esta operación, la compañía de Scott estará en posesión de un software muy potente que pondrá a disposición de los clientes que lo soliciten, impulsando su firme apuesta por las nuevas tecnologías. 
En esta línea, KPMG continuará con su estrategia de investigar y monitorizar eventos, fugas de información, relaciones entre personas, grupos o entidades a través de la información disponible en redes sociales, fotos, blogs, noticias, así como de otros repositorios accesibles de forma remota. De esta forma, podrá ayudar a sus clientes a monitorizar, analizar y gestionar la cantidad de información que se genera a diario a través de Internet. 
En palabras del socio responsable de seguridad de la Información y Continuidad de Negocio de KPMG en España, Marc Martínez, "la incoporación de la tecnología propietaria de Zink Security junto a su alto expertise en la materia, nos permitirá jugar un papel muy relevante en los servicios y soluciones de ciberinteligencia". 
"Hoy en día, la digitalización de las empresas, la explosión de los contenidos digitales en internet y las redes sociales han aumentado significativamente la exposición de las compañías a nuevos ataques y riesgos en materia de seguridad", añadió el socio de KPMG.
Otras notas de prensa relacionadas:

lunes, 22 de junio de 2015

Curso Online de Especialización en Seguridad informática para la intrusión de sistemas. Metasploit en profundidad

Compartir este artículo:
El 1 de Julio comienza el curso de especialización en Seguridad Informática para la intrusión de sistemas. Metasploit en Profundidad. Antes de nada agradecer a Criptored la confianza en este curso. El número de horas del curso es de 20, siendo totalmente Online, a través de la plataforma Webex. El curso se llevará a cabo del 1 de Julio de 2015 al 14 de Julio de 2015, en horario de 16.00 a 18.30 horario de España y los participantes recibirán el libro de Metasploit para Pentesters en su 3ª Edición

El curso tiene 2 módulos dónde cada uno será de 10 horas. El contenido del curso se puede ver en la siguiente imagen:


En el segundo módulo se tratarán temas como técnicas utilizadas en el pentesting más avanzadas, trabajaremos la evasión de antivirus a través de diferentes técnicas y dedicaremos gran parte del tiempo al desarrollo de módulos y scripts para el framework.


El calendario del curso se puede seguir en la siguiente imagen. Cada módulo son 4 días, esperamos veros y compartir con vosotros todos los contenidos. 



jueves, 18 de junio de 2015

Overlayfs Local Root para Ubuntu 15.04

Compartir este artículo:
Ha sido publicada una vulnerabilidad con CVE-2015-1328 y que detalla como explotar un fallo en Overlayfs, el cual provoca que un usuario pueda escalar privilegios en un sistema Ubuntu en las siguientes versiones: 12.04, 14.04, 14.10, 15.04. Por lo que probé hace un par de días, cuando salió no estaba disponible el parche que evita que un atacante pueda aprovechar el fallo y escalar privilegios. 

¿Qué es Overlayfs? Es un sistema de archivos con el que no se comprueba de manera correcta los permisos cuando se crean nuevos archivos, concretamente en un directorio superior. Este sistema de archivos tiene funciones del estilo ovl_copy_up_*

El exploit puede obtener de, por ejemplo, exploit-db, y para ejecutarlo es realmente sencillo: 
  1. Utilizar gcc para compilar el fichero, por ejemplo gcc ofs.c -o ofs.
  2. Posteriormente, ejecutar el binario recién compilado ./ofs.
  3. Se obtiene una sesión de root, se puede comprobar ejecutando el comando id.

Hay algunos fixes que han sido rápidamente puestos en Internet. Son soluciones rápidas y que intentan mitigar los problemas a los que nos expone esta vulnerabilidad. Seguiremos atentos a esta vulnerabilidad, porque parece que el exploit estará en la caja de muchos pentesters para sus auditorias. 

miércoles, 17 de junio de 2015

Impresoras expuestas en Internet y la fuga de información

Compartir este artículo:
Buenas a todos, en el post de hoy me gustaría hablaros sobre lo sencillo que sigue siendo a día de hoy, en el año 2015, buscar impresoras de empresas, universidades o administraciones públicas, que están expuestas, sin contraseña de acceso, y que nos ofertan de forma gratuita información muy detallada sobre la red interna de la compañía, documentos impresos, usuarios, y un largo etcétera. Es obvio que las labores de concienciación son necesarias, y más cuando en grandes organismos, donde se abusa de direcciones IP fijas, subdominios y donde no se tiene un control tan continuo sobre quién publica servicios hacia Internet y bajo que medidas de seguridad se realiza.

Hoy haremos una búsqueda tan simple en Google como la siguiente, para intentar localizar impresoras del fabricante HP, que puedan estar expuestas en un dominio determinado, que obviamente he ocultado para no dañar sensibilidades:

site:dominio inurl:hp/device/this.LCDispatcher

Como podéis ver en la siguiente imagen, solo buscando impresoras HP localizamos 113 resultados con impresoras. Si buscamos por otras marcas, localizaremos muchas más:


Sin mayor esfuerzo, en la primera página ya localizamos 4 impresoras que no solicitan credenciales de acceso:


Y desde su completo menú podremos ver todo tipo de información. Algunas nos aportarán poco valor, como saber si el administrador cambia a menudo el toner o recuerda rellenar las bandejas de papel... Pero también nos permitirán enviar documentos a imprimir:

Ver el log de eventos, o incluso en algunos modelos, ver el estado de la cola de impresión y su histórico, con los nombres de los documentos que han sido o están imprimiéndose:


La exposición de información de las impresoras que salen a Internet por descuidos es algo que se sabe desde tiempos inmemorables, pero... ¿por qué sigue pasando?

Saludos!

martes, 16 de junio de 2015

Buscar y limpiar metadatos de una imagen con verexif.com

Compartir este artículo:
Buenas a todos, en el post de hoy queríamos compartir con vosotros el sitio web "http://www.verexif.com", desde el que de forma gratuita podréis visualizar de forma rápida los metadatos de una imagen, y geoposicionarla en un mapa si esta contiene datos sobre  el lugar donde fue tomada.

Su uso es realmente básico, y basta con seleccionar el archivo correspondiente y pulsar sobre el botón "Ver Exif":


Tras unos segundos, nos mostrará los datos EXIF de la fotografía:


Así como un mapa ubicando el lugar donde fue tomada la fotografía:


Además, la herramienta nos permitirá eliminar los datos EXIF de la imagen, y volver a descargarla, pulsando sobre el botón "Quitar EXIF".

Un sitio web interesante para tener en el menú de favoritos.

Saludos!

lunes, 15 de junio de 2015

One Magazine se hace eco de las Jornadas X1RedMasSegura

Compartir este artículo:


Buenas a todos, en el post de hoy nos gustaría compartir con vosotros la entrevista que nos realizaron a la organización de X1RedMasSegura desde la revista One Magazine y que han publicado recientemente. Agradecimientos especiales a José Manuel Vera por el reportaje:

¿Por qué organizais jornadas como la que acabais de celebrar?
Simplemente porque pensamos que es una labor social que debemos asumir para contribuir a una alfabetización digital para los grupos de usuarios de la red más vulnerables y los que, ante sus miedos a la hora de integrarse en las TIC provocan que los menores que se adentran en ellas, por imposición de la época en la que han nacido lo hagan en solitario, teniendo que enfrentarse a ellos sin la protección de un adulto que, aunque no sea experto en Internet, sí sería capaz de discernir entre lo bueno y lo malo evitando con ello las, a veces, nefastas consecuencias a las que un niño se enfrenta por una mala utilización de las TIC . 

¿Qué tres cosas se pueden aprender en ellas?
1.-Que no es necesario ser experto informático para utilizar Internet con seguridad, y que las consecuencias buenas y malas de la red traspasan los monitores y pantallas de los dispositivos.
2.-Que necesitamos implementar en nuestros sistema escolar materias especificas que eduquen en cuanto a la seguridad en Internet y trasladar que los valores que todos debemos tener en nuestras vidas lo debemos trasladar a la red. Estas concienciaciones deben de trasladarse también a los adultos para educar a todos los escalones de la sociedad.
3.-Que los expertos en seguridad informática, los hackers, lejos de ser delincuentes digitales, como normalmente se les asimila, son las personas encargadas de asegurar nuestra vidas digitales y que para ello no dudan en bajar el nivel de sus discursos para los ciudadanos sin por ello perder la calidad de sus mensajes.

Como expertos en ciberseguridad qué os preocupa del momento actual que vivimos
Sobre todo la falta de concienciación por los problemas que puede ocasionar un fallo de seguridad mal protegido, que puede desenvocar en el mejor de los casos, en que una empresa o un particular, pierda información relevante, se la sustraigan, o la alteren; un ejemplo claro serían los datos secuentrados por el ransomware Cryptolocker de Correos, que tanto extragos está causando en los últimos meses, hasta casos mucho más peligrosos como que un software malicioso tome control de sistemas industriales que gestionan infraestructuras críticas. Hace falta mucha concienciación que permita entender a los responsables de empresas la necesidad de inversión en ciberseguridad. Sin inversión en empresas no hay medidas de seguridad, y sin medidas, estaremos expuestos a muchos peligros. Y con inversión no nos referimos obligatoriamente a la adquisición de tecnologías de pago, pero sí como mínimo a que en las empresas cuenten con una mínima mano de obra de profesionales de seguridad que implanten dichas medidas de seguridad. 

De qué os sentís especialmente orgullosos
Sobre todo de saber que hemos llegado a alguien para prevenir que sea victima por una mala utilización de las nuevas tecnologías, y sobre todo del apoyo incondicional de instituciones, empresas, colectivos y expertos, todos ellos encuadrados, de un modo u otro, en el mundo de la seguridad digital.

¿Qué le pediríais a la Administración en pro de la ciberseguridad? ¿se hace lo suficiente?
Educación y concienciación, ahora es cuando se está tomando conciencia de la necesidad de implementarlo y se está comenzando a reaccionar, pero todavía no es suficiente para cubrir las necesidades. 

¿Cuáles son tus propuestas para hacer 'una red más segura'?
Además de lo que ya hemos intentando expresar en esta entrevista dejar claros dos mensajes:
El primero a todos los internautas, independientemente de sus conocimientos, y es que en Internet nosotros somos nuestra mayor vulnerabilidad pero también somos nuestro mejor antivirus. El segundo a cualquier Institución, empresa, colectivo, o persona...¡Qué nos copien!

Podéis ver la entrevista completa desde su fuente original en:

viernes, 12 de junio de 2015

Hack & Beers IV Madrid

Compartir este artículo:
Llega la 4 edición de Hack & Beers Madrid. Tras las 3 primeras ediciones y el éxito que han tenido entre la gente, que han ido llenando las diferentes ediciones, podemos decir que el próximo Viernes 10 de Julio de 2015 se celebrará la 4 edición. En esta ocasión contaremos con la presencia de los siguientes ponentes:
  • J.M.Fernández@TheXC3LL, que nos hablará seguro sobre temas web, de momento lo dejamos en sorpresa. J.M. Fernández es auditor de seguridad y ponente en otros eventos como Navaja Negra.
  • Jaime Álvarez@kioardetroya, que nos hablará del pato, rubber ducky, y su diabluras. Jaime ha trabajado en empresas como el Banco Santander o Telefónica en temas de calidad. Además, es auditor de seguridad. Jaime ha sido ponente en el taller de Navaja Negra sobre Hardware Hacking.
  • Todavía no confirmad, aunque esperamos tenerlo entre nosotros,  [Confirmado] Miguel Ángel Arroyo, editor del blog de Hacking-Ético, Security Manager en SVT Cloud, Presidente de Anphacket, y gran ponente. Te esperamos...
Por supuesto que el Rincón de la Propuesta vuelve a abrir las puertas, y que el elegido/a del rincón de propuesta podrá exponer su charla. Animaros a participar y perder el miedo a exponer. En esta edición esperamos que os animéis, como hicisteis en la pasada, y que nos digáis de qué queréis hablar. Esperamos vuestras propuestas en info@flu-project.com. Sugerencias: un ataque que hayas realizado, un bar al que accediste a las cámaras, un nuevo desarrollo que tenga ingenio y se relacione con la seguridad, simplemente tienes una nueva app y quieres mostrarla, o simplemente quieres hablar a la comunidad de algo que crees que es interesante? No dudes y envíanos tu propuesta. El rincón de la propuesta os da un espacio de unos 25-30 minutos para que mostréis lo que queráis. 

El lugar dónde se celebrará el cuarto Hack & Beers Madrid será la calle Infantas 13 (Madrid) 28004, el bar se llama + K Copas, y tendremos un sitio preparado para nosotros, asistentes de la Hack & Beers. Podremos disfrutar de nuestra cerveza mientras escuchamos a los ponentes. El horario de entrada son las 16.30, para que a todos nos de tiempo de llegar después del trabajo. Recordad! Es totalmente gratis la asistencia.

La parada de metro más cercana es la de Gran Vía como se puede ver en la imagen. Por lo que nos han comentado existe la posibilidad de utilizar parking de pago cerca del bar, por si alguno se atreve con el coche. 


Para inscribiros os rogamos que rellenéis el registro.

Gracias.


jueves, 11 de junio de 2015

Fern Wifi Cracker

Compartir este artículo:
Buenas a todos, en el post de hoy me gustaría hablaros de la herramienta Fern Wifi Cracker. Se trata de una utilidad muy interesante y de botón gordo para crackear WiFis, que tenéis disponible en la mayor parte de las distribuciones de linux orientadas a procesos de auditoría de seguridad, como por ejemplo, Kali Linux.

Fern Wifi Cracker se apoya en el mítico aircrack para las labores de ruptura criptográfica de credenciales WiFi.
Descarga de Fern WiFi Cracker: https://github.com/savio-code/fern-wifi-cracker

Requisitos para su funcionamiento:

4. Python
6. Xterm
7. Reaver (for WPS Attacks)
8. Macchanger

Instalación (por si utilizáis otra distribución de linux, en este caso basa en debian)

  • dpkg -i Fern-Wifi-Cracker_1.6_all.deb
Cómo podéis intuir por la imagen superior, su funcionamiento es realmente sencillo, y basta con seleccionar la interfaz (tarjeta de red), que queréis utilizar para ejecutar el ataque, y pulsar sobre “Scan for Access Points”, para proceder a listar todos los puntos de acceso WiFi que se encuentran a nuestro alcance.
A continuación se iluminarán los botones WEP o WPA, en función de la tipología de la seguridad implementada en los Access Points que hayamos encontrado.
Tras pulsar en el citado botón, veremos la siguiente pantalla:
En ella veremos las redes detectadas, en esta caso de tipo WPA.  El siguiente paso será seleccionar la red que queremos atacar, y veremos la siguiente información básica de la red (Essid, Bssid, Canal, Cifrado). Desde este menú también podremos escoger el diccionario para realizar el ataque.
Ahora ya estaremos en disposición de realizar nuestro ataque. Es importante, como bien sabéis, que haya alguien conectado a la red que será auditada, ya que se precisa capturar el trafico generado por el cliente para poder llevar a cabo la desautenticación que permita cazar el handshake. Y que luego la víctima vuelva a conectarse, claro está.
Tras realizar el ataque tocará esperar mientras se captura el handshake y FWC localiza la clave. Tras finalizar, desde el menú de propiedades podremos ver la contraseña.

Eso es todo por hoy,

Saludos!
*Imágenes extraídas del sitio web oficial de Fern Wifi Cracker: https://github.com/savio-code/fern-wifi-cracker


miércoles, 10 de junio de 2015

Image Raider: buscador reverso de imágenes

Compartir este artículo:
Buenas a todos, en el pasado post sobre OSINT que publicamos en Flu Project, os hablamos sobre la búsqueda de imágenes de WhatsApp en Internet con distintos buscadores reversos, y entre los comentarios del artículo, Alejandro Prada nos recomendó este interesante buscador que queríamos compartir con todos vosotros. Se trata de Image Raider:



Para que veáis un ejemplo de su funcionamiento, realizaremos una búsqueda de la primera imagen de la mascota de Flu Project que publicamos en el año 2010, para ver algunos de los sitios web donde se encuentre actualmente alojada:


Una vez analizada la imagen, nos presentará los resultados y podremos ver un listado con todos ellos, o una previsualización de todas las imágenes localizadas:




Una herramienta web muy útil, ¡gracias Alejandro!

Saludos!

martes, 9 de junio de 2015

Navaja Negra y ConectaCON unen sus fuerzas

Compartir este artículo:
Buenas a todos, la pasada semana fue anunciada la apertura del plazo para la presentación de charlas y talleres en el V CONGRESO DE SEGURIDAD INFORMATICA "NAVAJA NEGRA". 

En esta nueva edición se han unido a CONECTA CON, con el fin de aunar esfuerzos y tener un punto de encuentro común como resultado de la proximidad geográfica de ambas CONs, fechas, objetivos, calidad de ponencias y talleres, etc. Es por ello, por lo que han elegido el hashtag oficial #nnc5ed como unión de Navaja Negra y Conecta CON. 

La CON seguirá teniendo lugar en Albacete dentro de la Escuela Superior de Ingeniería Informática de Albacete (ESIIAB) de la Universidad de Castilla-La Mancha del 1 al 3 de Octubre de 2015 ambos inclusive. 

Toda esta información la podréis ver desde http://cfp.navajanegra.com, tras jugar un poco con los comandos de esa consola haxor que nos han preparado :P


A continuación compartimos con todos vosotros las fechas del CFP/CFT. Tenéis un mes de plazo, hasta el 12 de Julio, para enviar vuestras ideas.  ¡Por lo que no os durmáis en los laureles y daros prisa a enviar vuestras charlas! :)


Para más información os dejamos a continuación los contactos de la organización, a los que aprovechamos para enviar un fuerte abrazo desde Flu Project:



lunes, 8 de junio de 2015

Desarrollando scripts para la extracción forense de información en Windows. Parte 1

Compartir este artículo:
Buenas a todos, durante las labores de investigación forense tendremos en muchas ocasiones la necesidad de obtener de forma rápida numerosos datos de un equipo Windows. Para esta labor hay infinidad de herramientas que podréis utilizar, pero también podréis desarrollar vuestros propios scripts para esta interesante tarea.

Por ejemplo, para este post os he preparado un pequeño "bat" para extraer rápidamente en un forense en vivo los drivers, información del sistema, mac, interfaces de red, conexiones, procesos, servicios y el árbol de directorios de la unidad raíz de un sistema Windows, en cualquiera de sus versiones. Por supuesto, con Powershell podréis ampliar este programa para hacer verdaderas maravillas. ¡Imaginación al poder! Sobre powershell Pablo escribió un interesante libre que podéis adquirir desde 0xWord:


Disfrutad del script y si lo ampliáis, será un placer recibir una copia para compartirla con todos vosotros en el blog:

Código de "forense.bat":

md results
::Drivers ******************************************
driverquery > results\Drivers.txt
::System Info **************************************
systeminfo > results\System-info.txt
::Get Mac Address **********************************
getmac > results\MacAddress.txt
::Network interfaces *******************************
ipconfig > results\Network-interfaces.txt
::Network connections ******************************
netstat > results\Network-connections.txt
::Running processes ********************************
tasklist > results\Running-processes.txt
::System services **********************************
reg query HKLM\System\CurrentControlSet\Services\ > results\System-services.txt
net view > results\Network-hosts.txt
::Files tree ***************************************
tree "%SYSTEMROOT%/.." > results/Files.txt

viernes, 5 de junio de 2015

#AlbahacaCon confirma su primera edición los días 25 y 26 de septiembre

Compartir este artículo:
Buenas a todos, aún no tenemos muchos detalles del nuevo congreso #AlbahacaCON, que este año verá la luz por primera vez, pero la organización ya ha publicado desde su cuenta de Twitter oficial que el congreso tendrá lugar los días 25 y 26 de Septiembre en Huesca.


En la organización del congreso se encuentran grandes profesionales, que estuvieron con nosotros en las pasadas Jornadas X1RedMasSegura, y que ya tienen experiencia en el montaje de otros eventos de similar magnitud como MorterueloCON y Hack&Beers, por lo que esta nueva CON promete divertir y unirnos para pasar un buen rato hablando de seguridad en una zona de la geografía española diferente a las que estamos acostumbrados en este tipo de CONs.

Poco a poco iremos viendo nueva información desde su sitio web:


Estad atentos, y si sois una empresa, y estáis interesados en patrocinar el evento, podéis contactar con la organización desde sus redes sociales:




Saludos!



miércoles, 3 de junio de 2015

10 #Ciberconsejos básicos para fortificar vuestro Mac

Compartir este artículo:
Buenas a todos, tras el éxito del pasado post en el que publicábamos 10 sencillos consejos para alcanzar un mínimo nivel de seguridad, centrándonos en sistemas con Windows, hemos decidido ampliar la cadena con otros 10 ciberconsejos con el mismo fin, pero esta vez centrándonos exclusivamente en los sistemas de Apple, ya que cada vez es más habitual que los usuarios se decidan (si el bolsillo lo permite), por un macbook o similar.

1. Aplica siempre las actualizaciones de Apple en tu equipo, así como las actualizaciones de terceros:


Tener un ordenador, smartphone, etc. actualizado es esencial. Nos protege ante posibles vulnerabilidades publicadas que pueden utilizar potenciales atacantes para tomar control o acceder a nuestros sistemas de forma local o remota. No solo debemos aplicar las actualizaciones proporcionadas por el fabricante, sino que también debemos aplicar las actualizaciones de terceros (flash, java, etc.). En los dispositivos de Apple nada cambia frente a Windows, y también debemos actualizar nuestros sistemas, lo que podremos hacer desde el menú de ajustes:


2. Realiza backups de forma regular, para ello puedes hacer uso de TimeMachine


Tener un backup de seguridad de la información de nuestro equipo es indispensable para no perder ningún dato tras un suceso inesperado. Por desgracia, muchos habéis sufrido infecciones de los temidos cryptolocker y demás ransomwares como el de Correos, que cifraban la información de nuestras estaciones de trabajo extorsionándonos para pagar un rescate para obtener las contraseñas de descifrado. Si todos tuviésemos backup, estas amenazas perderían el sentido, por ello, la necesidad de tener copias de seguridad. En Mac esta labor es muy sencilla mediante la funcionalidad Time Machine, a la que podréis llegar desde el menú de preferencias del sistema:



3. Asegura tu navegador


Otra cosa necesaria a realizar para mantener seguro nuestro Mac, es fortificar nuestro navegador. Algunos consejos básicos serían:

3.1 Bloquear las ventanas emergentes, javascript, módulos y advertir al visitar sitios web fraudulentos



3.2 Bloquear las extensiones, si no las estamos utilizando


3.3 Eliminar el autorrelleno de formularios

3.4 Eliminar el almacenamiento de credenciales, ya que aunque el equipo no sea compartido, un malware podría extraerlas


4. Cifra tu disco duro, por ejemplo, con FileVault


Cifrar nuestro disco duro nos segurará de que si perdemos el ordenador, smartphone, etc. nadie podrá acceder a nuestra información. Idem si alguien toma su control en el trabajo, o en otro lugar.


5. Haz uso de un buen software antivirus, aunque sea gratuito, pero nunca pirata (o lo mismo te piratean a ti...)


Tener un buen software antivirus es necesario. Es cierto que no bloquean ni un 60% de las amenazas malware, pero sí cortan las acciones realizadas por un alto número de amenazas. Además, los antivirus más completos que cuentan con sistemas heurísticos más avanzados, analizan el comportamiento del software malicioso para determinar si podrían ejecutar alguna acción ilegítima en el equipo, aunque su firma no se encuentre registrada.

Algunos antivirus llevan opciones avanzadas de análisis de correo electrónico, o control parental, que también pueden ser interesantes:


6. Para vuestras actividades diarias nunca utilicéis una cuenta administradora

Es algo que os cansaréis de oir, pero que es necesario reiterar. Para navegar por Internet es necesario utilizar una cuenta de usuario sin permisos de administración. Ya que si en algún momento accedieseis a alguna página, email o similar que contenga software malicioso, sino sois administradores, el malware no podrá desplegarse en la máquina, o al menos no lo hará con los máximos privilegios, por lo que paliaremos o incluso cortaremos la amenaza:


7. Desactivad AirPort y Bluetooth cuando no los estéis utilizando.

Cuando no se utilicen, se deberían desconectar los servicios de conectividad (AirPort, Bluetooth, etc.), que podrían ser utilizados por un atacante como puntos de acceso.

De nueva estas configuraciones podremos modificarlas desde el menú de Preferencias del sistema:


8. Bloquea automáticamente el equipo al entrar reposo


Bloquear de forma automática el equipo tras un periodo de inactividad nos permitirá que si dejamos el equipo descuidado, nadie podrá acceder a él durante nuestra ausencia.


9. Activa el firewall, o deja su control al Anti-Virus


El firewall es un elemento básico que deberíamos tener conectado para evitar conexiones remotas ilegítimas. El Firewall debería estar conectado, bien sea gestionado por el propio sistema, o por el motor de antivirus.


10. Revisa las opciones de privacidad

Desde el menú de seguridad encontraréis el submenú de privacidad, y desde el cuál podréis controlar que información se comparte a las distintas aplicaciones.


Como veis, 10 sencillos consejos que os harán la vida en el mundo de la manzana algo más segura.

Saludos!