Hoy, día 24 de Diciembre de 2013, queremos felicitaros las
fiestas y hablar un poco del mundo de la seguridad en el año 2013. Estamos
llegando al final del año y queremos dejaros un buen sabor de boca con todo lo
que el mundo de la seguridad ha visto este año. Seguro que nos dejamos noticias
interesantes o impactantes, esperamos que las añadáis en los comentarios.
Comienza el resumen de Flu Project al 2013.
Sin lugar a la duda, la noticia que más nos ha impactado
este año fue la revelación de espionaje por parte de la NSA. En el blog de El
lado del mal nos explicaban que era todo eso de PRISM, el acta de
patriotismo de USA y todo lo relacionado con la NSA. En esta tónica de noticias
aparecieron gran cantidad de situaciones relacionadas con el ciberespionaje de
la NSA, como por ejemplo el caso de las embajadas
espiadas en la Unión Europea, o el sistema
X-Keyscore, sistema de data mining de la NSA. La NSA aceptó los hechos,
pero como curiosidad nos queda que dijeran que solo del 1% al 4% del tráfico de
Internet había sido intervenido por ellos, mientras que algunos analistas
hablan del 96% del tráfico de Internet. Sin duda, ha sido la noticia del año en
el ámbito de seguridad mundial, y por ello os recomiendo que leáis mucho sobre
ello si tenéis tiempo estas navidades, el ciberespionaje existe y es una
realidad. Quizá los países más fuertes son los que antes han llegado a la
barrera del ciberespacio y a la inteligencia digital, pero si de algo estoy
seguro, es que las guerras en el mundo cada vez serán más digitales y menos físicas, ¿Estaremos
entrando en la guerra digital? ¿Llevamos años en guerra?
Para relajarnos un poco hablaremos de uno de los posts que
seguro más lectores tuvo en Security by default, habló del post de cómo
ganar siempre a mezcladitos. En este post, Lorenzo Martínez, nos explicaba
como modificando las peticiones se podía conseguir que la víctima perdiera turno
o reasignara partida. Así que cuidado con quién jugáis a mezcladitos, si no
queréis acabar desesperados perdiendo continuamente.
Otra de las cosas interesantes, lógicamente desde nuestro
punto de vista, es la publicación
de una vulnerabilidad encontrada en Zabbix. La vulnerabilidad
permitía elevar, de cierta manera, los privilegios en un dominio Microsoft.
El movimiento lateral estaba asegurado, mientras que el vertical en un alto
porcentaje de posibilidades.
Uno de los nuevos servicios de Eleven Paths, denominado FaasT, el cual
conozco muy bien, empezaba a colear allá por Julio como se puede visualizar en
este artículo que tuve el placer de publicar en el blog corporativo. FaasT
empezaba a andar representando las técnicas
de un pentester. Por otro lado, nosotros nos
encargamos de hablar del pentesting by design en Flu Project, para que estéis
al tanto de esta nueva metodología tan proactiva e interesante.
Para los amantes del exploiting desde Security Art Work os
traemos este post, el cual me pareció interesante, sobre todo por la
explicación detallada y sencilla que los chicos de Security Art Work siempre
aportan. Este año de este blog me quedo con la resolución
al ejercicio Heap 03 de Exploit-Exercises. Como aporte extra decir que este
blog siempre ha tenido mi atención por el nivel técnico y de presentación que
siempre aportan a su contenido, totalmente recomendado. Para los que queráis
empezar en el mundo del exploiting, os recomiendo este libro: Linux Exploiting.
Técnicas de explotación de vulnerabilidades en Linux para la creación de
exploits.
No me puedo olvidar de HackPlayers, encabezado por Vicente,
siempre proporcionándonos horas y horas de lecturas interesantes y prácticas.
Uno de los artículos que más me gustó este año fue el de como evadir
un portal cautivo mediante un túnel DNS, escrito por Vicente. Flu Project
siempre ha tenido una gran relación con este blog, incluso conociéndonos en la
antigua, y mi querida, Informática 64, un viernes por la tarde ;)
Otro blog del que no me puedo olvidar en este resumen breve,
pero intenso de la seguridad, es de pentester.es,
el blog de José Selvi. Tuve la suerte de coincidir
con José en León, en el ENISE 7, y fue un honor y un placer para mí
compartir mesa redonda con él. Cada entrada que sale es una fuente de
conocimiento, y por ello, ha sido complejo elegir una, por lo que me quedaré
con dos, por un lado por ser una herramienta que he utilizado bastante, me
quedo con el estudio
del nuevo meterpreter para Android. Por otro lado, me quedo con la serie de
SQL
Injection hasta la cocina – Oracle.
También quiero
recordar los 7 años de DaboBlog, que ahora mismo está a unos días de los 8
años. Tuve el placer de desvirtualizar a Dabo en el ENISE 7, también tuve la suerte de coincidir
con él en la mesa redonda, y es una persona que no defrauda a nadie, un tio
sincero, que va de frente y eso siempre es de premiar. Dabo, gracias por
acercarme al tren, aunque eso hiciera que casi no lo cogiera a tiempo ;) Y que
sean muchos más años de DaboBlog!
El nacimiento de HighSec,
un espacio llevado por Roberto y Eduardo, el cual me ha tocado de cerca. Una
comunidad muy interesante, la cual parece tener vida para años y años, supongo
que tomará el testigo de otros muchos que han ido aportando su granito al mundo
de la seguridad informática en España. De ellos me quiero quedar las ganas e
iniciativas para comerse el mundo, ánimo!
En lo que a libros se refiere no me quiero olvidar de mi
gran amigo, el ninja más famoso del ámbito mundial en seguridad, Metasploit
para Pentesters, el cual se encuentra en segunda edición (me pilló muy por
sorpresa, grata sorpresa). Aunque, uno que también me ilusiona mucho, y creo
que será un imprescindible para la gente en 2014, es el reciente libro
de la FOCA y la liberación de la FOCA Final Version por parte de
11Paths.
En Flu Project ha sido nuestro tercer año y nos vamos
haciendo mayores, pero creo que aún hay cuerda, y nos gustaría dejaros algunas
noticias interesantes que hemos tenido este año publicadas por nosotros:
- Generando nuestro propio screenshot para Meterpreter. Aprende a programar tus módulos de Metasploit y scripts de Meterpreter.
- 0-day FreeSSHd Authentication Bypass: Pivote + Zero Day.
- La radio con Pilar Movilla y Flu Project. Gran tarde con Pilar.
- Uno de los artículos más interesantes: Login y ataques CSRF.
- ¿Cómo ser System en Windows 7?
- Para los amantes del forense, como los del buen café, recopilatorio de herramientas Forense para ser un buen CSI.
- Para los amantes del forense, otra vez, Volatility Framework: Old ZeuS Malware.
Por último, y ya que soy parte de Eleven Paths, deciros que Latch será uno de los productos del
2014. Será imprescindible para cualquier usuario y con la que lograremos
acercar el mundo de la seguridad a cualquier usuario, sea cual sea su
conocimiento. He aquí la magia de la informática y lo importante de ello, todo
el mundo la usa y la necesita, nosotros tenemos que hacer que la informática
sea lo más sencillo para todos, manteniendo la seguridad.
Sé que hay miles de noticias interesantes que nos dejamos,
pero hoy hemos querido recordaros éstas. Recordad, estas navidades mucha
familia, amigos, mucho vino, cuidado con la carne y sobretodo, recordad
tapar la webcam o si no… poneros
sexys!