Los próximos días 29 y 30 de Enero tendrán lugar las II Jornadas de Seguridad y Ciberdefensa de la Universidad de Alcalá organizadas por el grupo de Ingeniería de Servicios Telemáticos del Departamento de Automática, la Cátedra Amaranto de Seguridad Digital e Internet del Futuro y las Delegaciones de Estudiantes de la Escuela Politécnica Superior.

El objetivo de estas jornadas es la promoción y la difusión de temas relacionados con la seguridad y la ciberdefensa en el ámbito universitario. Para ello, se han programado un conjunto de charlas relacionados con temas de interés en este ámbito y una sesión especial abierta para que alumnos de la UAH difundan sus actividades en este ámbito.

Las Jornadas se celebrarán en el Salón de Actos de la Escuela Politécnica Superior de la Universidad de Alcalá que está situada en el Campus Científico-Tecnológico. 

En esta segunda edición, han incorporado un segundo día, el 30 de Enero, que se dedicará a la realización de Talleres. Los talleres se celebrarán en los laboratorios de la Escuela Politécnica y tendrán un aforo limitado. 

La asistencia a estas jornadas es gratuita gracias a la participación desinteresada de ponentes, empresas y de sendos colaboradores.

Tanto Pablo como yo estaremos en las jornadas impartiendo las conferencias "Ciberinteligencia, cruzando datos en la red", la cual tengo el placer de compartir con mi compañero de Zink Security, Jesús, y "Bugs, exploits y otras chicas del montón", en la que Pablo nos hablará de exploiting.

• 9:00-9:10: Inauguración 
• 9:30 - 10:30: Alfonso Muñoz y Ricardo Martín (Eleven Paths): "Pentesting con javascript. El navegador web en el punto de mira".
• 10:30 - 11:30: Juan Antonio Calles y Jesús Alcalde (Zink Security): "Ciberinteligencia, cruzando datos en la red'". 
• 11:30 - 12:00. Descanso
• 12:00 - 13:00: Josep Albors (ESET): Ransomware: historia de una molesta amenaza.
• 13:00 - 13:20: David de la Cruz García. "Analizador de tráfico para la red social Twitter 
• 13:20 - 13:40: Adrián Macías Franco. "LINE. Android e iOS. Análisis técnico de la mensajería instantánea en smartphones"
• 13:40 - 14:00: Álvaro Felipe. "Detección de ataques MITM en TLS"
• 14:00 - 16:00 Comida 
• 16:00 - 17:00: Simón Roses ((VULNEX)): "Un Paseo por el Pentágono"
• 17:00 - 18:00: Pablo González Pérez (Eleven Paths): "Bugs, exploits y otras chicas del montón"
• 18:00 - 18:15: Descanso
• 18:15 - 19:15: Lorenzo Martínez (Securízame): "CSI S13E37" 
• 19:15 - 20:00: Mesa Redonda: ¿Y ahora, qué? Salidas profesionales e itinerarios en el mundo de la seguridad 

Más información y registro AQUÍ.

Saludos!

Durante el pasado Cybercamp de Incibe en Madrid y las últimas fechas cada vez han sido más los que han preguntado por cuando y dónde se realizará la segunda Hack & Beers de Madrid, y por fin tenemos fecha y lugar. En el pasado Hangout que trataba sobre la Hack & Beers comenté que nuestra intención para la segunda edición era hacerla en Madrid. Nos ofrecieron un local en Fuenlabrada, el cual queremos agradecer desde aquí a esta persona ;) y puede que en ediciones posteriores lo llevemos allí, si nos dejas! ;) Al final Madrid es el sitio elegido, por tener más posibilidades de llegar a más personas, pero nuestra idea es ir moviendo el evento por diversos lugares de la geografía madrileña. 

El día elegido es el Viernes 16 de Enero de 2015, para bajar el turrón. El lugar dónde se celebrará el segundo Hack & Beers Madrid será la calle Infantas 13 (Madrid) 28004, el bar se llama + K Copas, y tendremos un sitio preparado para nosotros, asistentes de la Hack & Beers. Podremos disfrutar de nuestra cerveza mientras escuchamos a los ponentes. El horario de entrada son las 16.30, para que a todos nos de tiempo de llegar después del trabajo. Recordad! Es totalmente gratis la asistencia.

La parada de metro más cercana es la de Gran Vía como se puede ver en la imagen. Por lo que nos han comentado existe la posibilidad de utilizar parking de pago cerca del bar, por si alguno se atreve con el coche. 

También queremos comentaros que para esta edición disponemos de dos ponentes más un espacio reservado de 20-30 minutos en el que expondrá un ponente que salga elegido de nuestro 'Rincón de propuesta'. Con este rincón esperamos que cualquier persona que tenga algo que exponer lo haga a la comunidad en un ambiente distendido. Hemos recibido feedback de personas que quieren exponen en Hack & Beers, pero no se atreven porque nunca lo han hecho, o porque les da corte, esperemos que participes mandándonos vuestra idea a info@flu-project.com. Esperamos vuestras propuestas. Manda un email con el asunto 'Rincón de propuesta' e indícanos de que te gustaría hablar en Hack & Beers. Sugerencias: un ataque que hayas realizado, un bar al que accediste a las cámaras, un nuevo desarrollo que tenga ingenio y se relacione con la seguridad, simplemente tienes una nueva app y quieres mostrarla, o simplemente quieres hablar a la comunidad de algo que crees que es interesante? No dudes y envíanos tu propuesta.

Los dos ponentes que tenemos, los cuales tienen un espacio de 45 minutos, son:

Para inscribiros os rogamos que mandéis un email con vuestro nombre a la dirección de correo info@flu-project.com, necesitamos indicar al establecimiento un número aproximado de personas. Os esperamos el día 16 de Enero en Madrid, mucho hacking y muchas beers!

Buenas a todos, como Pablo nos comentaba ayer, el pasado año hicimos un homenaje al 2013 repasando lo mejor que nos había pasado a lo largo de este año, y en 2014 no hemos querido perder esta buena costumbre y hemos vuelto a realizar un ejercicio de memoria para ver todo lo que nos ha acontecido en los últimos doce meses.

La verdad que son tantas las cosas vividas en todo este tiempo que es difícil (sin la agenda en la mano), recordar todo lo que nos ha pasado... y parte de la culpa (¡bendita culpa!) de toda esta gran actividad es debida al nacimiento de ZINK SECURITY.

El comienzo de 2014 fue bastante duro y complejo, cerrando los flecos pendientes para lanzar Zink Security al mercado (papeleos, locales, registros, marcas, notarios y un largo etcétera). La verdad que hasta que no te lanzas a la aventura no sabes realmente las horas que requiere montar una compañía desde cero, pero a toro pasado, es una de las mayores satisfacciones que se pueden tener en la vida :)

Enero fue un mes relámpago, con algunos eventos interesantes como las Jornadas de Prevención del Fraude y el Cibercrimen que organizamos desde ANCITE en La Rioja y que probablemente repitamos pronto y algunos HangoutON sobre seguridad de la información (¡atentos que el día 8 de enero tenemos previsto uno sobre seguridad en Android!). 

En Marzo repetimos por segundo año consecutivo en Rooted CON, invitados en esta ocasión por la organización gracias a vuestros votos por nuestra conferencia de 2013 (¡gracias!). Este año presentamos un estudio sobre el potencial de smartphones y tablets controlados remotamente, y su uso (permitido o no) en caso de un conflicto cibernético: 'Cyberwar: Looking for… Touchdown!'. La charla la iniciamos con una entrada hollywoodiense, gracias a la canción que nos dedicó nuestro amigo Insonusvita (grande). De nuestra charla surgió una entrevista para el periódico El Mundo, que podéis ver aquí. En este 2014 nos hicieron entrega de un premio por nuestra conferencia en Rooted 2013, en la que fuimos valorados según vuestras votaciones como la 4ª mejor charla de los últimos 5 años del congreso. De nuevo, ¡¡más GRACIAS!!

El 13 de Marzo lanzamos oficialmente Zink Security. En estos 9 meses de vida la compañía ha crecido a pasos agigantados, y hoy en día es un referente en ciberseguridad a nivel internacional. Ya somos 5 los locos que luchamos cada día desde la cueva (gracias infinitas a Gonzalo, Jesús, José y Patricia por uniros a este proyecto :)). Ya estamos ofreciendo servicios de seguridad de la información y hacking ético a clientes de todo el mundo de prácticamente todos los sectores, desde empresas del Ibex35 y grandes multinacionales, hasta sector público y pymes de todo tipo. Esperamos en 2015 seguir creciendo como hasta ahora.

En Marzo también comenzamos a preparar (con más esfuerzo, porque la verdad que es un trabajo de todo el año) las Jornadas X1RedMasSegura 2014. Angelucho, Josep, Blanca, Fer, Longi, ... otro año más al pie del cañón. Con casi tantas reuniones como con mi gestor :P, pero lo volvimos a hacer, y las Jornadas fueron un éxito. Ya estamos moviendo las Jornadas de 2015, pronto tendréis más detalles, y lo que si tenemos ya lanzado es el concurso de infografías 2015, por lo que si conocéis jóvenes interesados en participar no dudéis en recomendarles el concurso :)

En Abril seguimos dando caña, y arrancamos desde Zink Security un mega-curso de hacking ético de 500h a 15 alumnos de Madrid. Una grata experiencia que seguro repetiremos en el futuro. También concedimos alguna que otra entrevista a El País, Cadena Ser, etc. por todos los ciberataques acontecidos en ese mes y que dieron mucho que hablar en la prensa.

Mayo fue el mes de X1RedMasSegura, con numerosos talleres y con las jornadas como colofón, en las que tuve el orgullo de formar parte del acto de inauguración junto con el Director de Guardia Civil. Como siempre, una experiencia inolvidable. Destacando un taller de ciberseguridad en Alcalá de Henares con verdaderos superhéroes de la vida. Gracias a todos los que nos apoyáis en X1RedMasSegura 2014, y ¡¡sirva la siguiente foto para ilustrarlo!!

En Junio tuvimos bastantes eventos, comenzando por el FesTICVal de la URJC, en el que junto con mi compañero Gonzalo de Zink Security enseñamos a chavales de 15 a 18 años los secretos de Google Hacking. Siempre es gratificante volver a nuestra casa, la Universidad Rey Juan Carlos, y más si es por una buena causa. El siguiente evento en el que estuvimos fue el ESET Security Forum, en una interesante mesa de debate con algunos de los más grandes del sector. También estuvimos en un evento de Isaca, en el concurso para jóvenes, presentando la última versión de nuestro producto estrella, Zink-IT Vigilancia Digital.

Zink-IT ya es un verdadero monstruo, capaz de recolectar, analizar y cruzar datos de redes sociales, blogs, foros, chats, webs, deep web, sondas desplegadas por el mundo, inteligencia procesada y un largo etcétera, y generar inteligencia que pueda ser de utilidad a empresas, gobiernos, cuerpos policiales, etc. Tenemos montado nuestro propio CPD en Madrid (otro verdadero monstruo con un potente cluster de servidores) desde el que damos servicio a cualquier cliente que nos lo solicite. 

Tenemos servicio de suscripción a Zink-IT por jornada, mensual y anual. También instalamos soluciones Zink-IT ad-hoc, para grandes clientes. Si quieres solicitar una demostración de nuestra tecnología puedes ponerte en contacto con nosotros desde aquí.

Y finalizamos el mes de Junio con otra jornada altruista con nuestros compañeros de X1RedMasSegura en el encuentro Educa de Segovia, concienciando sobre los problemas del ciberespacio y lo más importante, sobre como afrontarlos (gracias a Olga por el esfuerzo puesto en este evento).

En Julio lanzamos los Zink Security Labs, talleres de 8 horas de duración en los que tratamos un tema de seguridad de la información. Los primeros talleres fueron "Auditoría de seguridad de la información", "Fortificación en entornos Windows" y "Metasploit Express", y tuvimos el placer de impartirlos con mi compañero Pablo de Flu Project, que se unió al catálogo de docentes de las formaciones (¡gracias por tu apoyo como siempre!)

Junio, Julio y Agosto fueron meses de locura laboralmente, con numerosos viajes y... ¡con vacaciones muy cortas! :P y así llegamos al mes de Septiembre.

En Septiembre tuvimos también varios eventos, el más importante por su finalidad fue las Jornadas Navega X Roman (CorreXRoman), en las que organizamos una jornada benéfica para recaudar fondos para Román. Gracias a todos los que apoyasteis esta causa. En este mes también impartimos un taller y una conferencia en las jornadas Clickaseguro, donde nos dieron un premio por el esfuerzo realizado en X1RedMasSegura a lo largo de los últimos años.

En Septiembre tuvimos otro evento en la URJC, esta vez organizado por la gente de ESET, y en el que estuvimos mostrando a los estudiantes de últimos cursos de informática de la seguridad el día a día de una empresa de nuestro sector, para picarles el gusanillo y de paso concienciar sobre los problemas de la red (y sus muchas bondades).

Finalizamos Septiembre con el comienzo de nuestra Formación en CiberSeguridad de la Información (FCSI), acompañados en esta ocasión por nuestros amigos de Sidertia Solutions y con el apoyo de ESET, ANCITE y por supuesto, ¡Flu Project!. El éxito de la primera edición del FCSI nos anima a lanzar pronto la segunda edición y de la que pronto os hablaremos según se acerque el final de la primera.

Octubre también fue un mes de locura, con el primer Hack&Beers Madrid, que organizamos Pablo y yo junto con la organización del congreso, con los talleres que impartimos en No cON Name y con la Halloween Hacking Class del FCSI

En Noviembre llegaron nuevos HangoutON, el segundo ESET Security Forum del año y el curso online de Cryptored, al que me invitaron por primera vez y en el que me lo pasé muy bien :)

Diciembre tampoco se quedó atrás con la Cybercamp y nuestro taller sobre Metasploit, y los cursos de Valencia con TAES sobre Forense Digital.

Sumarle a todo esto la gestión de Zink Security, numerosos proyectos, Flu Project, mi tesis doctoral.... y.... sí, necesitamos unas merecidas vacaciones... :-)

Gracias a todos por acompañarnos en este intenso 2014,  esperamos que este año también haya sido igual de emocionante y provechoso para todos vosotros y desearos un feliz 2015.

¡¡Un fuerte abrazo!!

Fdo. Juanan

El año pasado hacíamos este sano ejercicio de memoria y de recordar para lo que ha dado el año 2014. Es cierto que cada año que pasa te das cuenta de la gente nueva que aparece, y otra gente que desaparece o deja de estar ahí, por esta razón me gusta valorar y hacer este sano ejercicio de reflexión sobre lo que el año me ha dado y que llevaré siempre conmigo. Realmente el año 2014 empezó como el año 2013, salvo por la novedad de empezar un año trabajando en Eleven Paths, con mucho trabajo y trabajo. Faast se ha convertido en mi mayor quebradero de cabeza, a la par que en una de mis mayores satisfacciones, no hay éxito sin esfuerzo! Ver como día a día un grupo de personas se deja lo mejor de sí para hacer de este servicio innovador un punto de referencia me llena de orgullo, bravo compañeros! 

Una de las satisfacciones personales, que repercuten en el mundo profesional, es la finalización del Máster de Seguridad Informática que realicé desde finales de 2013 y hasta Octubre de 2014. Mi TFM denominado 'Infraestructura y técnicas de alistamiento de reclutas para la ciberguerra' me produjo mucha satisfacción en su lectura. 

Los meses de Enero y Febrero pasaron rápidos entre trabajo y trabajo, por lo que la cuesta de Enero no fue tal. Tuve la suerte de volver a ser invitado a la tercera edición del URJC Tech Fest, cuya temática este año era la de hardware libre y robótica. En esta ocasión presenté, junto a mi amigo Carlos Rubio, la ponencia 'Hello World! Bye Privacy?', en la que mostrábamos los peligros del Internet de las cosas. La radio también ha sido un medio en el que me he sentido cómodo, y he tenido la suerte de participar varias veces en el espacio que Chema Alonso tiene en el programa de La Mañana de Javi Nieves. La experiencia enriquecedora, de las que al final suman y a posteriori quieres más.  

Y por fin llegó Marzo, fuimos invitados por la organización de la Rooted CON a asistir a la V Edición del congreso. Además, tenía la suerte de repetir en un Rooted Lab sobre Metasploit, el cual siempre me hace tener momentos especiales que recordar con los asistentes. La charla que preparamos para este evento fue un estudio sobre el potencial de los dispositivos móviles como arma cibernética, y el uso de la sociedad en un conflicto de ciberguerra, siempre y cuando el pueblo se encuentre sometido. Tuvimos una entrada difícil de olvidar para muchos, y en la que le echamos un par de… h^^***. El video de 'Cyberwar: Looking for… Touchdown!', en el cual nos lo pasamos muy bien, tanto preparando la charla, como ejecutándola. 

Con Marzo superado tengo que hablar de otra experiencia satisfactoria este año y son las dos ediciones del curso de Criptored en las que he tenido la oportunidad de participar. El curso denominado 'Especialización en seguridad informática y ciberdefensa' reunía a un gran elenco de docentes con gran reputación, por esto me siento muy orgulloso de haber formado parte de ellos. El feedback que los alumnos reportaron fue muy positivo, y creo que la visión que cada uno aporta es algo enriquecedor para el alumno. Además, a finales de Abril tuve la suerte de que Jorge Ramió y Alfonso Muñoz pensarán en mí para impartir una charla en el Ciclo de Conferencias TASSI, el cual cumplía su décima edición. La conferencia fue la número 5 del ciclo, y la denominé 'Ethical Hacking: afrontando una auditoria interna'. 

Llegó Mayo y con ello dos cosas importantes con ISACA, la primera de ellas fue mi pequeña contribución a hacer que las jornadas de los jóvenes de ISACA comenzarán un ciclo. Tuve la oportunidad de dar una charla en una de estas jornadas para los jóvenes de ISACA, la cual trataba de la ejecución de una auditoria interna, tal y como comenté en el ciclo de conferencias TASSI. Al final todo consiste en ser un super… user! Además, durante es mes se llevó a cabo un concurso denominado el Reto de Seguridad de ISACA, en el cual participé con un proyecto. El proyecto quedó en quinto lugar, lo cual para los integrantes del grupo fue gratificante, viendo el nivel de lo presentado en este reto. Ángel, Blanca, Josep, Juan Antonio y cía, volvieron a montar x1redmassegura, un evento en el que se conciencia a los menos avanzados en el uso de las nuevas tecnologías, Juanan y yo fuimos a hablar de como un ciudadano ve la ciberguerra, o no la ve… :D

El verano sería una época de bajar el ritmo, pero no para nosotros. La empresa de Juan Antonio llevaba 3 meses en pie y trabaja al máximo para sacarla adelante, ¿mi opinión? va por muy buen camino… :) Juan Antonio montó los Security Labs, dónde me pidió que participará para ayudarle con ello, y por supuesto uno acepta. Y en Julio… llegó él… mi pequeño, recién horneado, 'Ethical Hacking: Teoría y práctica para la realización de un pentesting'. A día de hoy el feedback es positivo y espero que permita estudiar a muchos pentesters.

Seguramente llegados a este punto me he dejado eventos o hitos importantes de este año, pero hacer una recapitulación de un año no es fácil, quizá debamos llevar una agenda anual para apuntarlo todo, si me olvido de alguien o de algo, sorry, pero llegamos a Septiembre, un mes que me trajo la satisfacción de ver como el Rooted Lab de la Rooted Satellite de Valencia tenía 25 alumnos, un lleno inesperado para un taller que para mí era nuevo y preparé con mucha ilusión. El taller se denominaba Hacking Ético. Conocí a personas que te hacen pensar, y que demuestran mucho cariño hacia tu persona, lo cual siempre llama mucho mi atención.

Octubre trajo el mes de lo viajes, y lo que muchos denominaron en España el mes de las CON. Tenía una espinita clavada, ya que nunca había asistido a una Navaja Negra, y todo el mundo me hablaba realmente bien del evento. Participé en la elección de talleres con dos propuestas, 'Metasploit: 2 Hours on fire!' y 'Auditoria interna: Cómo llegar a ser un super… user!' Tuve la suerte de que ambas propuestas fuesen elegidas por los votantes, quedando en segundo lugar y cuarto (creo). La verdad que vivir el evento fue una pasada, es un aire distinto a otras CON, la cercanía de todos con todos y la 'comuna' montada es algo muy interesante, y que realmente me gustó.

Quien me conoce sabe que siempre he querido viajar al otro lado del charco, tengo todavía algo pendiente y es viajar a la Argentina, pero tuve la suerte de que la gente de la 8dot8 de Chile me aceptaron y allí que fui. Tras realizar un viaje de 11.000 kilómetros con muchas anécdotas, llegué a Santiago para dar la charla 'Cyberwar: looking for… citizen!'. A los dos días de volver me tocó viajar a Barcelona para impartir el taller de Metasploit en No cON Name 2014. Esta CON siempre ha sido especial para mi, ya que fue la primera grande allá por 2011. Fue interesante volver a ver a amigos allá en Barcelona, espero que en 2015 volvamos a vernos, e incluso igual nos atrevamos con alguna ponencia a ver si sale (guiño guiño). Así acaba el mes de los viajes. Decir desde aquí a @edusatoe que me gusta el apodo de Willy Fog, realmente ese mes todos fuimos un poco Willy Fog.

Antes de pasar a Noviembre quería nombrar a mi querida Hack&Beers. En verano (Julio-Agosto), el señor Miguel Ángel Arroyo me propuso ser el responsable de Hack&Beers Madrid, a lo cual me subí al carro, ya que me gustó la idea de reunirnos un viernes cada 3 meses para exponer y pasar un rato con la gente. El primer evento de este tipo se celebró en Móstoles y tuvo como ponentes a Juan Antonio Calles, Dan1t0 y Rafael Sánchez. Fue un honor ver el nivel de asistencia y la respuesta de la gente, nos juntamos entre 55 y 60 personas, cuando la sala estaba preparada para 45, grandes! Hack y muchas Beers! Por supuesto hay un evento en Telefónica importante para mi, y ese es el Security Innovation Day. En esta ocasión me tocó estar junto al maestro en la charla, un honor.

En noviembre estuve con mi compañero Rafa Sánchez presentando 'Wargames in your office' en las jornadas técnicas de ISACA 2014. Esto era de nuevo un reto, el cual nosotros aceptamos y mostramos una ponencia técnica en un foro no tan técnico, donde los asistentes podían ver los peligros que tienen los fallos en procedimientos, procesos y/o directivas. Este mismo mes volví a mi querida URJC dónde impartí una charla en un congreso de redes sociales, a la cual denominé 'Colega, ¿Dónde está my privacy?' Tengo un grato recuerdo de esta charla, por el impacto en la gente y el nivel de carcajada obtenido con lo expuesto.

Durante este año también he tenido la oportunidad de salir en varios medios televisivos, lo cual es otra experiencia de las que enriquece. Quizá es un medio un poco más complejo que la radio, debido al nivel de exposición, pero todo es práctica! Me gusta esta foto…

Y llegó Diciembre, donde vivimos el cumpleaños de Flu Project, 4 aniversario. Pero antes, tuvimos el evento de Incibe, el Cybercamp. En esta ocasión tuve la suerte de ser ponente en las conferencias presentando 'Wargames in your office'. Además impartí una versión reducida del taller de Metasploit, como hice en Navaja Negra, junto a mi amigo Juan Antonio Calles. Ver como la gente se encontraba sentada en los sitios 1 hora antes de comenzar la sesión fue algo gratificante e impactante, ver que la gente quería ver el taller, y que la sala se llenaba y rodeaban la cinta fue, como comenté, impactante.


Hay cosas que pasé por alto como el FCSI, el Security Meeting con Faast, charlas de Faast en algunas universidades como la UEM, mi viaje a Murcia para hablar del pentesting persistente, mi viaje a Málaga para hablar de Latch en Diciembre… Siempre nos dejamos cosas atrás, pero creerme ha sido un año muy intenso de trabajo, un año de muchos kilómetros… Yo pensaba que el año pasado no podría superarlo, pero la sorpresa ha sido que sí, creo que lo he superado y espero que 2015 supere este 2014, no será por esfuerzo y ganas de hacer cosas. Felices fiestas, y feliz año nuevo!

• El lunes tocó felicitar a Pablo su cumpleaños :)

Cuentos de guerra o no, 60.000 usuarios han perdido un día de trabajo, y muchas empresas, destacando tiendas virtuales, no han podido vender sus productos en la víspera de Navidad. ¿Casualidad...?

Saludos!

Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre seguridad en el arranque de Windows, que comenzamos el pasado verano, tratando el paso 5 de 8 dentro de nuestra clasificación y que se corresponde con el inicio del explorer.

En el pasado post de la cadena hablamos de Winlogon y de cómo se encargaba de arrancar Explorer.exe e iniciar Userinit.exe. Hoy veremos qué es Explorer.exe y cómo se inicia en el sistema.

Explorer.exe es el administrador de archivos de Windows, uno de los procesos fundamentales del sistema operativo de Microsoft, y cuya misión principal es administrar el equipo y gestionar la interfaz del sistema operativo (escritorio, menús, barra de tareas, etc.)

Este proceso es creado con las credenciales y permisos del usuario autenticado. Por ello se levanta después de GINA, como ya vimos en post anteriores de la cadena.

El resto de procesos levantados en el sistema a continuación heredan de explorer.exe, por lo que es un proceso "muy deseado" por el malware para inyectarse en él, y hacerse permanente. Ya os hemos mostrado en sendas ocasiones desde Flu Project cómo utilizar meterpreter para inyectaros en otros procesos de una máquina de la que ha sido tomado su control remoto (migrate PID...).

El arranque de explorer.exe es realizado por el binario que lleva este mismo nombre, y que se encuentra en la clave del registro que podéis ver a continuación:

Últimamente ciertos malware, destacando los de tipo ransomware (como el Virus de la Policía, conocido por ciertos lares como el virus Mortadelo :P), se han aprovechado del funcionamiento de explorer.exe para modificar la clave del registro donde se situaba el path del binario explorer.exe e indicar la ruta donde se encontraba dicho malware (AppData, Roaming, System32, ..., depende de la variante y de los permisos del equipo de la víctima) para así automatizar el arranque durante el inicio del sistema operativo y engañar al usuario con la popular pantalla "policial":

Arrancando Windows en modo a prueba de fallos se evitaba su inicio y se podía acceder al sistema para eliminar la clave del registro referenciada y sustituirla por "explorer.exe".

Cómo veis, explorer.exe es un proceso crucial del arranque de Windows, ¡así que cuidado con él!

Saludos!

Buenas a todos, hoy quería aprovechar la entrada en Flu Project para felicitar a mi compañero Pablo, en su 28 cumpleaños :) 

¡Muchas felicidades Pablete! Espero que este año sea mínimo tan bueno como el presente. 

¡Disfruta el día y a ver si nos toca la lotería! :)

Saludos!

• El lunes iniciamos de nuevo la semana con Metasploit (empieza a ser costumbre :P). MITM & SSL Strip con Meterpreter en remoto a través de VPN

Buenas a todos, en el post de hoy continuaremos la cadena "Pentesting con Mantra" hablando de 2 plugins muy útiles tanto para administración de sistemas como para auditoría de seguridad.

El primero de ellos es FireSSH. Se trata de un cliente SSH en forma de plugin para Firefox. Su uso es muy sencillo, y basta con introducir en las casillas los datos de conexión del servidor SSH (host, puerto, usuario, contraseña, certificado, etc.)

Descargar FireSSH

Podéis descargarla independientemente de Mantra desde el siguiente enlace:

https://addons.mozilla.org/es/firefox/addon/foxyproxy-standard/

https://addons.mozilla.org/es/firefox/addon/tamper-data/

Hoy proponemos utilizar uno de los módulos de Borja Merino, que ha realizado para la comunidad Metasploit, y el cual nos permite montar una VPN entre la máquina atacante y víctima con el fin de que el tráfico de la máquina víctima pase por la del atacante consiguiendo un MITM. La idea es que la máquina del atacante pueda estar en otra red, en cualquier punto de Internet, y automáticamente el tráfico de la víctima, cuando quiera ir a Internet se envíe por el túnel VPN a nuestra máquina (atacante). Una vez el tráfico llegue a nuestra máquina la reenviaremos a Internet, pero de esta forma se puede visualizar el tráfico que se envía. Además, se puede utilizar la técnica SSL Strip con el fin de poder cambiar el protocolo HTTPS de la víctima por HTTP, y conseguir credenciales de Gmail, Outlook, etcétera. 

¿Qué necesitamos? Lo primero es instalar el servicio pptpd en nuestra máquina Kali. Para ello ejecutamos la sentencia apt-get install pptpd. Una vez instalado el servicio debemos tener en cuenta que el tráfico de la víctima pasará por nosotros, a través de un túnel VPN, por lo que necesitamos habilitar ip forwarding, como puede verse en la imagen. En el archivo pptpd.conf debemos habilitar el direccionamiento IP que se otorgará a los clientes, e indicar que dirección IP tendrá el host que hace VPN server, en este caso nosotros. 

Además, debemos tener en cuenta que hay que configurar el usuario y la contraseña con la que se configura el servicio. Cuando el cliente quiera conectarse a la VPN deberá introducir el usuario pablo y la contraseña metasploit. Ahora que tenemos preparado el servicio, debemos configurar unas reglas en iptables para que todo quede configurado.

Se necesitan 3 reglas, las cuales tenemos en un fichero denominado reglas. La primera enmascara todo lo que sale por la interfaz de red "normal" de la máquina del atacante, en otras palabras realiza el cambio de dirección IP. La segunda regla hace un forward entre interfaces, todo lo que llega por la interfaz ppp0, la que conecta la VPN entre víctima y atacante, se reenvía a la interfaz de salida eth0 de la máquina del atacante. La tercera regla es la operación inversa de la segunda, todo lo llega desde Internet, con destino a la máquina víctima, se reenvía por ppp0. Básicamente esto es lo que está ocurriendo en iptables.

El escenario es de post-explotación, es decir, necesitamos disponer de una sesión en una máquina remota para poder ejecutar esta técnica. Por esta razón, y como se puede ver en la imagen, necesitamos saber qué identificador de sesión disponemos en la máquina remota. En este caso, la sesión tiene id 1. 

Una vez disponemos de la sesión en la máquina remota debemos ejecutar un background para no perder la sesión abierta. Con el comando use cargamos el módulo post/windows/manage/pptp_tunnel disponible en Metasploit. Si ejecutamos el comando show options podemos visualizar las diferentes opciones básicas que dispone el módulo. En este caso necesitamos configurar el usuario y contraseña y la dirección IP perteneciente a VPNHOST, que será nuestra dirección IP. 

Una vez configurado debemos ejecutar el comando run, y podemos visualizar como se establece la conexión desde la máquina vulnerada al servidor de VPN (nosotros). En este instante el MITM lo tenemos configurado, y el tráfico de la máquina remota pasará por nosotros. 

Si analizamos la máquina remota y las rutas configuradas (métricas) podemos observar que gracias a la ejecución del módulo se han añadido nuevas rutas con métricas bajas que salen por la interfaz de red que hemos configurado. Si nos fijamos en la interfaz 192.168.0.234, que corresponde con la interfaz de red de la VPN, sería la interfaz que la máquina vulnerada utilizará para salir a Internet. Gracias a esto se ha logrado el MITM en remoto. 

Si abrimos Wireshark en la máquina Kali (atacante) y configuramos el filtro HTTP, podemos ver que el tráfico de navegación de la máquina remota pasa por nosotros. En la captura que se muestra en la imagen podemos ver como el origen es la dirección IP 192.168.0.234 (máquina Windows remota) con destino Internet, en este caso el sitio web El Otro Lado, y se puede visualizar el usuario y contraseña introducido por la víctima.

Como podemos ver, podríamos visualizar el tráfico HTTP, pero ¿Qué ocurre con el tráfico HTTPS? Fácilmente podemos acoplar la técnica SSL Strip en este caso, para ello debemos añadir una regla a iptables que es la siguiente iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000. El puerto 10000 puede ser sustituido por otro, en función de cómo configuremos el script de sslstrip. Ahora ejecutamos el comando sslstrip -w [fichero]. 

Tal y como puede visualizarse en la imagen, encontramos un usuario y contraseña en la máquina remota. El dominio es outlook, el cual en condiciones normales seríamos redirigidos a HTTPS, pero con esta técnica mantiene a la víctima en un contexto HTTP. Si la víctima no se da cuenta de este hecho, será víctima de un robo de identidad. Para aprender más sobre Metasploit y sus secretos os recomiendo el libro de Metasploit para Pentesters.

• El lunes iniciamos la semana con Metasploit y el exploit UXSS para Android en Explotando UXSS en Android con Metasploit

Durante el desarrollo de la Navaja Negra de 2014 desvirtualicé a Ignacio Sorribas, el cual es un crack profesionalmente y como persona. Me comentó una forma con la que conseguía saltarse el UAC y elevar privilegios en sistemas operativos Windows de 64 bits, y tras probarlo en Windows 7 y 8 me gustó la idea. Yo pensaba que el módulo de bypassuac que trae Metasploit valdría, pero ciertamente no, en algunos entornos hay que moverse un poco más para conseguir elevar los privilegios. 

¿Cuál es el punto de partida? Comenzamos ya con una sesión abierta en Metasploit, con un Meterpreter. En la imagen podemos ver que somos el usuario pablo, ejecutando una sesión sobre una máquina Microsoft Windows 7 de 64 bits. 

Es importante tener algunos comandos claros con Meterpreter, ya que este payload está en continuo crecimiento en lo que a funcionalidades se refiere. Necesitamos subir un binario que se encuentra en la ruta data/post, dónde Metasploit se encuentre instalado. En la imagen podemos visualizar que realizamos la subida del binario a través del comando upload, y lo dejamos en el escritorio del usuario. El nombre del fichero a subir es bypassuac-x64.exe. 

Figura 5: Configuración de exploit/multi/handler

Una vez se ejecuta el fichero post.exe se recibe la nueva sesión, la que tiene privilegios de System. Para interactuar con la nueva sesión debemos ejecutar sessiones -i [identificador de la sesión], tal y como puede verse en la imagen. Una vez dentro de la sesión, debemos ejecutar el comando de Meterpreter getsystem, con el que conseguir el uid deseado.

Figura 6: Obtención del privilegio

Tal y como podemos ver, en algunas ocasiones necesitamos ejecutar otras vías para conseguir una sesión con privilegio, y aunque pueda parecer tedioso, no hay más que tener paciencia. Para aprender más sobre Metasploit y sus secretos os recomiendo el libro de Metasploit para Pentesters.

Buenas a todos, en el post de hoy continuaremos la cadena "Pentesting con Mantra" hablando de 3 plugins indispensables incluidos en Mantra: Flagfox, Cookies Manager + y Hackbar.

Flagfox es un plugin para Firefox que muestra la bandera del país correspondiente a la ubicación donde se encuentra el servidor que aloja la página web. Ofrece varias herramientas como controles de seguridad, Whois, traducciones, sitios web similares, validaciones, contracción de URLs, etc.

https://addons.mozilla.org/en-US/firefox/addon/flagfox/?src=search