29 sept 2014

Metasploit para pentesters: 3ª Edición

La semana pasada salió publicada la tercera edición de Metasploit para Pentesters. Hace dos años sacamos este libro con mucha ilusión y sin pensar, ni mucho menos, que llegaríamos a la tercera edición, más de 2000 libros vendidos. La verdad que uno se para a pensar en las cosas que puede hacer en la vida, y una de las más interesantes es escribir, plasmar el conocimiento en hojas para que otras puedan seguirlas. 

En esta tercera edición hemos querido sacar un capítulo nuevo para que la gente que quiera empezar a programar cosas para el framework pueda hacerlo. Es un capítulo interesante, ya que conocer Ruby y programar tus propios módulos y scripts para Metasploit es algo realmente interesante y útil en un pentesting


En el libro podéis ver el código de distintos tipos de módulos de Metasploit que pueden serviros para ir aprendiendo en este pequeño arte. Además, existe un Github dónde los códigos están disponibles, iré subiendo y actualizando ese Github, si el tiempo me lo permite. Hace poco, en el blog de El lado del mal salió publicado un juguete construido con Ruby para detectar un netbus, viva el retromalware... También se implementó un módulo en Metasploit, de tipo Auxiliary, con el que se puede detectar y tomar el control. 

Hay ejemplos sencillos de cómo hacer un módulo de tipo exploit, local o remoto, y por supuesto como hacernos un script de Meterpreter con el que podamos realizar acciones, las que queramos, una vez que tenemos el control de la sesión remota. El próximo viernes más cosas sobre Metasploit en el workshop de Navaja Negra, nos vemos! ;)

28 sept 2014

Informe Flu - 195


Como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

Lunes 2 de Septiembre
    Martes 23 de Septiembre
      Miércoles 24 de Septiembre
      Viernes 26 de Septiembre
      • El pasado viernes os hablamos de #WhatsApp Tracker, una herramienta que permite rastrear los últimos tiempos en línea de un usuario de WhatsApp.



        26 sept 2014

        #WhatsApp Tracker


        Buenas a todos, en el post de hoy nos gustaría compartir con vosotros una de las interesantes herramientas de Marcos (@_mgp25), WhatsApp Tracker y que esta semana nos ha recomendado via email.

        WhatsApp Tracker es una herramienta que permite rastrear los últimos tiempos en línea de un usuario de WhatsApp. Os dejamos con su descripción:

        Es una herramienta que permite rastrear los últimos tiempos en línea del usuario. Para usuarios que tengan activa la última hora en línea, no es que sea muy útil, pues cualquiera puede ver cuando fue la última vez se conectó. Pero esta herramienta te permitirá saber también cuando fue la última vez que se conecto un usuario que tenga 'la última vez en línea' invisible.

        Actualmente hay dos posibles formas para mostrar los tiempos en línea del usuario, o bien por pantalla o bien de forma remota. De forma remota, irá enviandote al número de teléfono que tú le asignes un log de la última vez en línea.

        Esta basado en WhatsAPI un proyecto que esta llevando Shirioko y la comunidad :)

        ¿Motivo de este script?

        Más que nada para demostrar que no existe privacidad y que se puede automatizar la monitorización de cualquier usuario.

        Sinceramente, hay clientes más seguros que WhatsApp.

        Comandos

        php watracker.php

        Una lista con los comandos que actualmente tiene el programa:
        • -check < numero > Te muestra por pantalla la última hora en línea del usuario. (solo funciona con usuarios que tengan visible su última hora en línea).
        • -cRemote0 < tuNumero > < numero > Te muestra por pantalla la última hora en línea del usuario y te mando un log al número que tu le asignes. (solo funciona con usuarios que tengan visible su última hora en línea).
        • -cHidden < numero > Te muestra por pantalla la última hora en línea del usuario. (Funciona para todos los usuarios, enfocado para los que lo tienen en invisible).
        • -cRemote1 < tuNumero > < numero > Te muestra por pantalla la última hora en línea del usuario y te manda un log al número que tu le asignes. (Funciona para todos los usuarios, enfocado para los que lo tienen en invisible).

        Tenéis más información desde su página oficial de GitHub: https://github.com/mgp25/WhatsApp-Tracker

        24 sept 2014

        Hack & Beers: Hackers, b****** y otras experiencias del montón!

        Por fin! Tenemos preparado el primer Hack & Beers en la Comunidad de Madrid. ¿Cuando?! El día 10 de Octubre, un viernes que no debes perderte. En este día arrancamos esta nueva andadura con el apoyo de nuestros amigos de Córdoba, los cuales estarán empujando desde allí ;) 

        Tenemos grandes ponentes esperando a ese día para dar las charlas más locas, informales, show, humor, y sobretodo con mucho hacking, pero de buen rollo ;) Agradecer a los invitados a este H&B que asistan y nos muestren sus estudios e investigaciones en materia de Seguridad. El evento dará comienzo a las 16.45, y aquí os dejo el listado de ponentes que tendremos la suerte de disfrutar:
        ¿Cual es el plan? Sencillo, como en todo H&B realizado previamente en Córdoba, queremos disfrutar de las charlas que nos dan totalmente gratis estos tres grandes del mundo de la seguridad, pero como sabéis, otro factor importante de estos eventos que arrancamos es que la gente pueda realizar networking con otros compañeros del mundo de la seguridad. Todo el mundo que quiera compartir unas cervezas y echar unas risas es bienvenido, porque como pusimos en el cartel... público objetivo: Cualquiera que quiera pasar un rato con estos cracks!

        Pero... ¿Dónde!?¿Dónde!!? Está bien, os comento, por fin cerramos el sitio y, sí... nos pilla cerca de casa. No ha sido sencillo conseguir un sitio que no nos pidiera algo a cambio, por lo que agradecemos a la Universidad Rey Juan Carlos y al Ayuntamiento que nos ceda una sala en el Vivero de Empresas para celebrar la reunión allí. 


        Hay una parada de metro, el de la Universidad. Desde allí se puede ir al Vivero, ya que hay un puente que cruza de la Universidad al Vivero. No hay problema de aparcamiento para el que quiera ir en coche. Para daros una dirección más oficial: "Auditorio del Vivero de empresas de Móstoles, situado en el parque empresarial "Móstoles Tecnológico". C/ Federico Cantero Villamil, 2 bis, 28935 - Móstoles, Madrid.La fiesta continua después para el que esté más animado, animaros! ;)

        ¿Cómo registrarse? Como sabéis las plazas son limitadas, por desgracia. Para apuntarse hay que mandar un e-mail a alguna de estas direcciones: info@flu-project.com o pablo@flu-project.com. Cualquier duda ya sabéis twitter, mail, este post... animaros y pasar una tarde (y quién sabe si noche...) de hack and beers!

        23 sept 2014

        #ESET España y #ZinkSecurity organizan ponencia sobre seguridad informática y salidas profesionales en la URJC

        ESET España y Zink Security organizan una ponencia sobre seguridad informática y salidas profesionales en la Universidad Rey Juan Carlos

        Con la finalidad de mostrar a los estudiantes de las carreras técnicas que puedan estar interesados en la seguridad informática, ya sea como afición o porque buscan una salida profesional en ese campo, ESET España y Zink Security impartirán una ponencia el próximo jueves 25 de septiembre en el Aula Magna del aulario III de la Universidad Rey Juan Carlos, en el Campus de Móstoles, donde se revisará el estado actual de la seguridad informática, las principales amenazas para usuarios y empresas y las salidas profesionales que este campo ofrece.

        “Hemos llegado a un punto en el que la tecnología avanza con una rapidez pasmosa pero, a la vez, no se toman las medidas de seguridad necesarias para garantizar que nuestros datos estén a salvo”, comenta Josep Albors, Director de Comunicación de ESET España. “Cabría preguntarnos si disponemos de los conocimientos necesarios o existen suficientes profesionales para evitar los continuos casos de robo de datos o infecciones en todo tipo de dispositivos y, de no ser así, tomar las medidas correspondientes para solucionarlo.”

        En una carrera técnica universitaria como pueda ser Ingeniería Informática o Telemática se imparten una gran cantidad de conceptos fundamentales que son esenciales para comprender el funcionamiento de muchos sistemas que gobiernan buena parte de nuestras vidas. No obstante, estos conocimientos aprendidos también permiten desarrollar soluciones para las problemáticas que nos encontramos a diario y ese interés enfocado a la seguridad informática es el que pretende potenciar esta ponencia.

        “Sin duda, para poder dar el do de pecho en el complejo día a día de las empresas que nos dedicamos a la seguridad de la información y al hacking ético, es necesario contar con una amplia capacitación en redes de telecomunicaciones, sistemas operativos, arquitectura de computadores, programación y otras imprescindibles materias que acompañan a los estudiantes durante su proceso formativo. Sin ellas, y sin conferencias como la presente, sería imposible contar con un nutrido grupo de profesionales capaces de dar respuesta a las necesidades de un mercado que se actualiza diariamente”, comenta Juan Antonio Calles, Director de Zink Security.

        Tanto como si eres un apasionado de la seguridad informática como si simplemente tienes curiosidad por saber qué se cuece en este mundillo, no puedes perderte esta interesante charla.



        22 sept 2014

        Yowsup: Aplicaciones éticas y no tan éticas para WhatsApp. Parte 4

        Buenas a todos, en el post de hoy continuaremos con la cadena "Yowsup: Aplicaciones éticas y no tan éticas para WhatsApp" para mostraros una aplicación que nos ha enviado Rodrigo Ávila desde Argentina (¡gracias!), y con la que podréis verificar la ultima vez que una cantidad de números determinadas estuvieron en línea.

        A continuación compartimos el código de Rodrigo:

        1. # -*- coding: utf-8 -*-
        2. #!/usr/bin/python
        3. #Por Rodrigo Avila - @el_rodrix
        4. #rodrigo398@hotmail.com
        5. import argparse, sys, os, csv
        6. from Yowsup.Common.utilities import Utilities
        7. from Yowsup.Common.debugger import Debugger
        8. from Yowsup.Common.constants import Constants
        9. from Yowsup.Contacts.contacts import WAContactsSyncRequest
        10. from Yowsup.connectionmanager import YowsupConnectionManager
        11. import threading,time, base64
        12. #.....................config.......................
        13. nickname = "549XXXXXXXXXX" #Agregar numero movil
        14. username = "549XXXXXXXXXX" #Agregar usuario
        15. password = "XXXXXXXXXXXXXX" #Agregar pass
        16. target = ["549xxxxxxx", "549xxxxxxxx"] #Ingresar los numeros a verificar en esta lista
        17. #....................................................................
        18. password = base64.b64decode(bytes(password.encode('utf-8')))
        19. jid = range(len(target))
        20. for x in range(0, len(target)):
        21.     jid[x] = "%s@s.whatsapp.net" % target[x]
        22.     print jid[x]
        23. Debugger.enabled = True if '-d' in sys.argv else False
        24. def login(username, password):
        25.     print "[] Autenticado como: %s (%s)\n" % (nickname, username)
        26.     methodsInterface.call("auth_login", (username, password))
        27. def send(jid, msg):
        28.     methodsInterface.call("message_send", (jid, msg))
        29. def onAuthSuccess(username):
        30.     print("Autenticado!!\n\n")
        31.     methodsInterface.call("ready")
        32.     methodsInterface.call("presence_sendAvailableForChat", (nickname,))
        33.     methodsInterface.call("presence_sendAvailable")
        34.     for x in range(0, len(target)):
        35.         methodsInterface.call("presence_request", (jid[x],))
        36.         time.sleep(2)
        37.     t = 5
        38.     i = 0
        39.     while i < t:
        40.         time.sleep(0.5)
        41.         i=i+1
        42. def onAuthFailed(username, err):
        43.     print("Auth Failed!")
        44. def onPresenceUpdated(jid, lastSeen):
        45.     print time.strftime("Ultima vez en linea hace: %H horas %M minutos", time.gmtime(lastSeen))
        46. ########################### EVENTOS #############################   
        47. connectionManager = YowsupConnectionManager()
        48. signalsInterface = connectionManager.getSignalsInterface()
        49. methodsInterface = connectionManager.getMethodsInterface()
        50. connectionManager.setAutoPong(True)
        51. signalsInterface.registerListener("auth_success", onAuthSuccess)
        52. signalsInterface.registerListener("auth_fail", onAuthFailed)
        53. signalsInterface.registerListener("presence_updated", onPresenceUpdated)
        54. #####################################################################
        55. login(username, password)

        También tenéis disponible la aplicación en el siguiente pastebin: http://pastebin.com/5BKrZbp3

        Hasta el próximo post,

        Saludos!

        21 sept 2014

        Informe Flu - 194


        Como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

        Martes 16 de Septiembre
          Miércoles 17 de Septiembre
          Viernes 19 de Septiembre
          • El pasado viernes os anunciamos los eventos que teníamos desde Flu Project para estos días en Eventos para hoy
          Sábado 20 de Septiembre
          • Ayer estuvimos en Valdepeñas en la iniciativa #Clickaseguro, concienciando a internautas sobre los peligros en la red. En el evento, que coincidía con Rooted Valencia , nos encontramos con muchos amigos del mundo de la seguridad y entre otros, tuve el placer de desvirtualizar a nuestro amigo Marcelo, de Infospyware y al cual mando un abrazo desde aquí:




            19 sept 2014

            Eventos para hoy

            Buenas a todos, en estos momentos están dando comienzo los talleres "RLS1 - Reversing de aplicaciones y análisis forense en Android" y "RLS2 - Hacking Ético" de Rooted Satellite Valencia. Sin duda un gran plan para pasar el viernes aprendiendo de mano de dos de los mejores investigadores de seguridad nacionales, como son Luis y Pablo.



            Más información aquí: https://www.rootedcon.es/vlc/labs/

            Me habría encantado estar por Valencia, a la cual considero mi segunda tierra, pero en esta ocasión Pablo y yo hemos tenido que diversificar fuerzas y repartirnos con otro evento que teníamos para hoy, los talleres de Clickaseguro de Valdepeñas.



            Si aún no tenéis plan para esta tarde, estaré por esta bella localidad donde dicen que hay buen vino... (yo, sino me lo demuestran... :P), para impartir hoy, un taller sobre OSINT y Forense orientado a investigadores de seguridad, cuerpos policiales, abogados, etc.

            Mañana estaremos de nuevo en el evento, impartiendo una conferencia sobre los problemas de compartir muchos datos en redes sociales, blogs, etc. donde haremos algunas pruebas reales bastante curiosas.

            Si nos vemos en alguno de los eventos, será un placer compartir unas cañas con vosotros.

            Saludos!


            17 sept 2014

            Shodan: MongoDB está de moda

            En este artículo hablaremos de Shodan y MongoDB. El motor de base de datos se está convirtiendo en una solución muy cotizada en lo referente a NoSQL, mientras que Shodan se ha postrado como un enemigo para algunos gobiernos, ya que algunas de las búsquedas revelan información que no debería estar, digamos, tan accesible. 

            Para ejemplificar lo que se puede encontrar con Shodan se va a proceder a realizar una búsqueda para encontrar servidores que ofrecen el servicio MongoDB. ¿Podremos acceder a sistemas MongoDB? ¿Estarán cacheados por el motor de búsqueda? Y por último, ¿Tendrán contraseñas por defecto? Deciros que su contraseña por defecto, es que no tiene contraseña, así es una instalación de MongoDB...


            Una vez encontrados los servicios que se requieren se prueba la conexión a éstos. En la mayoría de los casos la lógica dice que estarán protegidos, pero siempre se debe probar, ya que en muchas ocasiones puede haber sorpresas. Existen diversos clientes para conectarnos a este tipo de sistemas, por ejemplo podemos utilizar MongoVUE.


            Sorpresa! Tenemos la conexión realizada, por lo que debemos cuidar la configuración por defecto de nuestros sistemas. Un buen Sysadmin debe chequear, y verificar que sus configuraciones no son por defecto. Shodan puede ser utilizado para encontrar puntos débiles en infraestructuras críticas, ya que este tipo de infraestructuras no se encuentran muy protegidas actualmente. Gracias a Shodan...

            16 sept 2014

            Yowsup: Aplicaciones éticas y no tan éticas para WhatsApp. Parte 3

            Buenas a todos, en el post de hoy vamos a continuar con la cadena sobre Yowsup, explicando como desarrollar nuestra propia aplicación en Python para extraer la foto de WhatsApp del usuario que nos interese apoyándonos en el API Yowsup, del que ya os hemos hablado en las dos anteriores entregas de esta cadena: http://www.flu-project.com/2014/09/yowsup-aplicaciones-eticas-y-no-tan.html

            La extracción de la fotografía del perfil de cualquier usuario es tan sencillo como hacer una llamada  al método "contact_getProfilePicture", pasándole como argumento el número de móvil del usuario que queremos observar en formato WhatsApp.

            A continuación os compartimos una posible aplicación finalizada, que extraerá el avatar de WhatsApp y la almacenará temporalmente en "/tmp", para después copiarla en el escritorio del usuario que queramos. Para utilizarla simplemente tendréis que pasarle con el parámetro "-n" el número de móvil de la siguiente manera:
            • python getWhatsAppPicture.py -n 6XXXXXXXX


            getWhatsAppPicture.py:
            from Yowsup.connectionmanager import YowsupConnectionManager
            import time
            import base64
            from datetime import datetime
            import shutil
            from unidecode import unidecode
            import datetime
            import optparse
            import sys
            import os

            #Configuracion movil whatsapp ************
            user="34XXXXXXXXX" #SUSTITUIR POR NUMERO MOVIL
            PASSWORD = "XXXXXXXXXXXX" #SUSTITUIR POR CONTRASEÑA
            ruta="/home/XXXXXX/Desktop" #SUSTITUIR POR RUTA DONDE ALMACENAR LA FOTO
            #***********************************************

            def onAuthSuccess(username):
                methodsInterface.call("ready")
                methodsInterface.call("contact_getProfilePicture", ([number]))
                while True:
                    input()

            def onProfilePicture(jid,path,rest):
                shutil.move(rest,ruta)
                os.rename(rest,ruta+jid+".jpg")
                os._exit(0)

            def onAuthFailed(username, err):
                print("Fallo en la autenticacion")

            def onDisconnected(reason):
                print("Desconexion: %s" %reason)

            if __name__ == '__main__':
                parser = optparse.OptionParser('usage %prog -n <number>')
                parser.add_option('-n', dest='number', type='string',    help='specify number')
                (options, args) = parser.parse_args()

                number = "34"+options.number+"@s.whatsapp.net"   

                y = YowsupConnectionManager()
                signalsInterface = y.getSignalsInterface()
                methodsInterface = y.getMethodsInterface()
                signalsInterface.registerListener("auth_success", onAuthSuccess)
                signalsInterface.registerListener("contact_gotProfilePicture", onProfilePicture)
                signalsInterface.registerListener("auth_fail", onAuthFailed)
                signalsInterface.registerListener("disconnected", onDisconnected)
                password = base64.b64decode(bytes(PASSWORD.encode('utf-8')))
                methodsInterface.call("auth_login", (user, password))
            Imaginamos que se os ocurrirán mil y una utilidades a partir de esta sencilla herramienta. Si queréis compartir con nosotros nuevas soluciones derivadas a partir de este código, estaremos encantados de publicarlas en posteriores artículos de la cadena.

            Saludos!

            14 sept 2014

            Informe Flu - 193


            Como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

            Lunes 8 de Septiembre
            Miércoles 10 de Septiembre
            Jueves 11 de Septiembre
            Viernes 12 de Septiembre
            Sábado 13 de Septiembre


              12 sept 2014

              Got! Road to #NavajaNegra2014

              Mi compañero Rafa Sánchez me comentó hace unos meses como sería la nueva edición de Navaja Negra y decidí intentar llevar algún taller allí. La verdad que siempre me han hablado genial sobre el evento, y esto ha hecho que este año quisiera asistir, y poder disfrutar del evento en todo su esplendor. 



              Tras barajar opciones quise hacer un workshop sobre Metasploit 'a full', creo que es una opción interesante. Lógicamente en dos horas tendremos que ir rápido, pero veremos cosas interesantes sobre como utilizar el framework y como realizar alguna cosa, trasteando con Ruby. Tuve la suerte que el taller fue elegido entre los 6 primeros, por lo que el reto fue conseguido, got!. Por otro lado, presenté otro taller sobre cómo realizar una auditoría interna (técnica, que luego algunos se equivocan con temas TI). Sorprendentemente para mí el taller también fue escogido entre los 6 primeros, pero los de la Navaja no me dejaban abusar :( (guiño, guiño). Al final decidí que lo más lógico sería llevar el taller que había quedado por encima del otro, 'msf wins'.

              Dicho esto, tengo muchas ganas de asistir y estar con la gente allí, desvirtualizar a muchos de vosotros y sobretodo pasar una buena fiesta por Albacete, así me lo ha prometido Rafa. Por dar un poco de leak sobre qué podremos ver en el workshop os dejo algo...

              - Metasploit basics (Comandos, tipos de módulos, arquitectura, tools, etc)
              - Ficheros de configuración (Anda si msfconsole tiene mucho más...)
              - El irb (jugamos si las dos horas nos dejan...)
              - Payloads games
              - Ruby, toca que toca? 
              - Técnicas interesantes con Metasploit (Client-Side -> Zombie!)
              - and... mucho más! :D 

              11 sept 2014

              La doble autenticación y la seguridad en las redes

              Con el reciente caso de el robo de fotos desde iCloud, parece que los usuarios  han empezado a usar(o al menos ya saben que existe) la autentificación en dos pasos. Esta medida de seguridad,que nos permite saber cuando alguien  intenta conectarse a nuestra cuenta desde Sri Lanka y se lo impide, debería activarse en todas nuestras identidades digitales,siempre que sea posible.

              Pero, ¿qué es la doble autenticación? Cuando nos logueamos en algun sitio web,suele ser mediante un nombre de usuario y una contraseña. El nombre de usuario puede variar desde el correo que hayamos usado al registrarnos o un nickname que usemos en el portal. ¿Que significa esto? Que si alguien quiere acceder a nuestra cuenta tiene que saber nuestro nombre de usuario y nuestra contraseña.

              El problema de esto es que la seguridad de nuestra cuenta se basa en que nadie averigüe nunca ambos campos...y ahí es donde las responsabilidades se dividen. Si nuestra contraseña es 1234 o una contraseña muy trivial,será mas fácil averiguarla que si tuvisese 25 carácteres. Por otro lado, si podemos probar contraseñas sin impedimento.... Un ataque de fuerza bruta consiste en intentar combinaciones de usuario-contraseña hasta que se consigue entrar.

              La solución a estos ataques es controlar el número de intentos que realiza un usuario(o una IP) al intentar loguearse. O a partir de un número X de intentos aumentar el desafío y además de las credenciales hay que introducir un captcha,que al fin y al cabo a todos se nos va la memoria y si no nos acordamos de la contraseña que acabamos de cambiar,pues no es cosa de quedarnos sin cuenta.

              Bastante simple no? Pues aun así ha habido casos en Wordpress, distintos foros por internet e incluso  iCloud dónde por no controlar correctamente dichos ataques, se ha conseguido el login de numerosas cuentas.

              Asi que hay que hacerse a la idea de que,tarde o temprano,no serás el único en saber tu par usuario/contraseña. Y ese alguien que lo sepa se podrá hacer pasar por ti,entrar en tu cuenta del banco,ver tus correos....

              La doble autenticación se basa en la siguiente fórmula:
              Lo que sabes AND Lo que tienes -> Login con éxito  

              ¿Qué significa "lo que tienes? Algo que nadie más que tu tenga o pueda obtener. Muchos portales de internet transforman esta idea en un código que recibes por SMS en el momento en el que alguien se intenta ha conseguido "conectarse" al portal con tus credenciales. Y digo "conectarse" porque después de autenticarse se le pedirá el código que tú acabas de recibir. A no ser que tengan tu teléfono móvil(o este ya este comprometido) no podrán conectarse sin usar este código.

              Y si intentan un ataque de fuerza bruta al código? A Google,despues de buscarle las cosquillas me ha puesto un captcha,además de que cambió el código. Llega un momento en el que hay que cerrar la pestaña e intentar loguearse de nuevo

              La doble autenticación se configura en Configuración de la cuenta - > Seguridad.

              Una opción para aquellos que no quieran dar su teléfono es usar la aplicación Google Authenticator, que gestiona los códigos para usados en el momento de la autenticación.

              Facebook,Twitter,iCloud,Wordpress,Gmail tienen disponible la doble autenticación. No es obligatoria,pero si altamente recomendable.

              ¿Qué ha pasado con iCloud?

              Si conocemos el Apple ID de un usuario e intentamos autenticarnos una y otra vez, Apple no nos banea,nos ayudan a restaurar nuestra contraseña, mediante un e-mail a nuestro correo de reserva o a través las ya  imposibles de averiguar famosas preguntas de seguridad. Tambien nos preguntarán nuestra fecha de cumpleaños, datos altamente díficiles de conseguir para alguien que no tenga Internet y/o nos conozca un mínimo.

              Si nos equivocamos dos veces en alguna de las pruebas pasará esto:


              A la tercera....


              Pero esto sólo pasa cuando intentamos gestionar el ID de Apple. Desde Windows, usando el panel de iCloud para descargar nuestros archivos de la nube, no se controla el número de intentos, por lo que es un prueba y error hasta que tus fotos (privadas o no), documentos, y lo que tengas subido, acabe en la red.

              Hubo un tiempo en el que fue así. Ahora,tras un número de intentos fallidos, Apple te bloquea la cuenta y te conduce a su servicio iForgot, donde nos dan la oportunidad de recuperar nuestra contraseña mediante un mensaje de correo o preguntas de seguridad.

              Antes de ayer fue la keynote de Apple y los chicos de Cupertino han prometido mejoras en la seguridad de sus productos. Mientras acordaos de activar la doble autenticación y tened cuidado con lo que subis a la nube.

              Contribución de Gonzalo Junquera (@junquerG), de Zink Security
              gjunquera@zinksecurity.com

              10 sept 2014

              Yowsup: Aplicaciones éticas y no tan éticas para WhatsApp. Parte 2

              Buenas a todos, en el post hoy vamos a continuar con la cadena sobre Yowsup, explicando como configurar el cliente Pidgin para utilizar WhatsApp, apoyándose en este interesante API, del que ya comenzamos a hablar en el pasado post: http://www.flu-project.com/2014/09/yowsup-aplicaciones-eticas-y-no-tan.html

              Para utilizar WhatsApp en Pidgin lo primero que deberemos hacer es instalar algunos paquetes necesarios:
              apt-get install pidgin python-dateutil python-argparse libglib2.0.0 libglib2.0-dev libpurple-dev make g++
              A continuación vamos a necesitar el plugin Purple, que nos permitirá utilizar WhatsApp en Pidgin.
              git clone https://github.com/davidgfnet/whatsapp-purple
              Si no habéis seguido el anterior post de la cadena, deberéis descargar en este paso Yowsup:
              git clone https://github.com/tgalal/yowsup.git
              Ahora accederemos a la carpeta whatsapp-purple que descargamos anteriormente mediante git, lanzamos el comando make y copiamos el archivo .so que se acaba de generar a la carpeta donde residen las librerías de Pidgin (/usr/lib/pidgin):
              make 
              cp -rf libwhatsapp.so /usr/lib/pidgin/
              El siguiente paso será configurar Yowsup, tal y como vimos en el pasado post: http://www.flu-project.com/2014/09/yowsup-aplicaciones-eticas-y-no-tan.html

              Ahora abriremos Pidgin y añadiremos una nueva cuenta:


              Si no hemos tenido ningún problema hasta el momento, debería salir la opción "WhatsApp" sin logo:


              Para realizar la configuración de nuestra cuenta WhatsApp debemos indicar como usuario el número de teléfono tal y como lo indicamos en el archivo config.example y como contraseña, el password tal y como lo indicamos también en config.example.

              Y eso es todo lo que precisamos para utilizar WhatsApp en Pidgin. ¿sencillo verdad?


              Haciendo honor al nombre de la cadena, ¿qué aplicaciones no éticas se os ocurren con lo que llevamos visto hasta el momento? A nosotros se nos ocurren muchas, que van desde el control de botnets Flu a través de mensajes enviados por WhatsApp, hasta la realización de una recolección masiva de datos de usuarios de WhatsApp. En el próximo post abordaremos uno de estos posibles casos :)

              Saludos!




              8 sept 2014

              El 26 de Septiembre dará inicio en Madrid la Formación en Ciberseguridad de la Información (FCSI)

               
               
              La Sociedad de la Información a día de hoy representa mucho más que una realidad, es una necesidad. Las personas y las empresas dependen irremisiblemente de ella. Es parte fundamental de los procesos de negocio, de la relación entre personas o en cuestiones tan triviales como el propio ocio. Evidentemente a través de la tecnología se ha generado todo un ecosistema de trabajo, donde la Ciberseguridad es una parte fundamental.

              Hablar de Ciberseguridad es alejar miedos, disponer de mecanismos y aplicar procedimientos para garantizar un uso seguro y confiable de la tecnología. Que las empresas generen confianza, que las personas puedan hacer uso de la tecnología con confianza.

              Para abordar las necesidades actuales es evidente que se necesitan profesionales con conocimientos sólidos y buenos mecanismos de instrumentación. Con esta idea nace FCSI. Un nutrido número de profesionales con una dilatada y contrastada experiencia en materia de seguridad informática, suman sus conocimientos y plantean una formación que irá revelando, en un formato fundamentalmente práctico, todos aquellos aspectos que conciernen a la seguridad lógica de una organización y las personas.

              Vertebrado a través de los Tiger Team de Zynk Security y Sidertia Solutions, contará además con un nutrido grupo de profesionales que aportarán los conocimientos más expertos en las materias de las que son sobradamente conocedores.

              La formación se encuentra articulada a través de seis módulos diferentes que acogerán las diversas temáticas y especializaciones que recogen los campos fundamentales en el amplio espectro de la seguridad TI. Los contenidos de cada módulo irán asociados a la resolución de diversos escenarios prácticos que serán presentados a través de escenarios virtuales. Dichos escenarios serán fiel reflejo de situaciones reales a los que se han enfrentados los diferentes consultores que abordarán la formación.

              Los asistentes tendrán acceso mediante un campus virtual a todo el contenido empleado en las diferentes formaciones. También dispondrán de diferentes retos online y escenarios post formativos para que puedan seguir realizando prácticas y autoformándose una vez que hayan finalizado la formación.

              Módulos y contenido

              • Módulo 1: Introducción a la Ciberseguridad. Situación actual, tecnología y metodologías (15 horas)
              El asistente en este módulo adquirirá los conocimientos iniciales sobre los riesgos a los que actualmente se enfrentan las infraestructuras TIC, así como la metodología y procedimientos empleados por las organizaciones para minimizarlos. Conocerá de forma práctica como se realizan los pasos iniciales en ataques a infraestructuras IT, así como los procesos que deben aplicarse para el endurecimiento de los sistemas de seguridad. Aprenderá los procedimientos formales de ejecución de auditoría y test de penetración, así como la cualificación de los riesgos identificables.
              • Módulo 2: Auditoría de Seguridad de infraestructuras y servicios (20 horas)
              El asistente en este módulo conocerá los mecanismos empleados para identificar vulnerabilidades en infraestructuras, servicios, servidores y puestos de trabajo de una organización. Conocerá los riesgos más habituales, así como las practicas más inseguras que emplean las organizaciones y que permiten a un atacante la intrusión en sus sistema. Empleará herramientas de análisis de vulnerabilidad, así como aplicaciones para la explotación de fallos identificados. Aprenderá a realizar extensiones de dichas herramienta, para incorporar sus propias investigaciones. Conocerá los procedimientos empleados para evadir los sistemas de protección perimetral, así como los mecanismos para la identificación de los mismos.
              • Módulo 3: Pentesting de Aplicativos Web (20 horas)
              El asistente en este módulo aprenderá a identificar riesgos de seguridad en plataformas web, así como a explotar dichas debilidades para obtener acceso privilegiadas a las mismas o bien efectuar saltos a otras infraestructuras. Conocerá y pondrá en práctica la evaluación de seguridad de aplicaciones y servicios web, empleando las metodologías formalmente empleadas para la ejecución de auditorías y test de penetración. Conocerá también qué mecanismos de protección deben emplearse, así como las recomendaciones más significativas a plantear cuando se aborda el informe de resultados.
              • Módulo 4: Ataque y protección de redes de comunicaciones (20 horas)
              En este módulo el asistente conocerá los riesgos de seguridad aplicables, tanto en su formato lógico como el físico, en las redes de comunicaciones de datos, de voz e inalámbricas. Hará uso de técnicas de ataque en redes IPv4 e IPv6, para la interceptación de tráfico, decepción de la información e intrusión en infraestructuras de red. Conocerá los fundamentos de protección de dispositivos de red, así como los errores más habituales que comenten las organizaciones en la protección de sus redes.
              • Módulo 5: Criptografía aplicada (20 horas)
              En este módulo y de forma práctica el asistente conocerá los mecanismos empleados para garantizar la confidencialidad e integridad de la información, servicios y comunicaciones. Conocerá los fundamentos de protección y aprenderá a discernir que algoritmos públicos son o no los adecuados para el empleo en las organizaciones. Conocerá los riesgos en el empleo inadecuado de sistemas de criptografía, así como mecanismos que emplean los ciberdelincuentes para la ruptura de algoritmos.
              • Módulo 6: Análisis Forense Pericial: identificación y resolución de Ciberataques (25 horas)
              Al finalizar el módulo, el asistente conocerá los mecanismos para la realización de un forense digital con éxito. Habrá aprendido a realizar procedimientos siguiendo las normativas establecidas en el ordenamiento jurídico español, así como la capacitación para la obtención de resultados a partir de las pruebas adquiridas y la elaboración de un informe pericial válido judicialmente, tras la identificación de una incidencia detectada por una organización.
              • Prueba final y jornada de despedida (5 horas)
              Se efectuará una evaluación final para la obtención del Título acreditativo final. Para ello deberán superar una prueba práctica de capacitación que englobará los conocimientos adquiridos a lo largo de toda la formación.

              Duración

              La formación se realizará los viernes, dando comienzo el 26 de Septiembre de 2014 en horario de 16:00 a 21:00 horas.
              • Módulo 1: Introducción a la Ciberseguridad. Situación actual, tecnología y metodologías. 26 de Septiembre, 4 y 11 de Octubre.
              • Módulo 2: Auditoría de Seguridad de infraestructuras y servicios. 17 y 24 de Octubre, 7 y 14 de Noviembre.
              • Módulo 3: Pentesting de Aplicativos Web. 21 y 28 de Noviembre, 5 y 12 de Diciembre.
              • Módulo 4: Ataque y protección de redes de comunicaciones. 9, 16, 23 y 30 de Enero.
              • Módulo 5: Criptografía aplicada. 6, 13, 20 y 27 de Febrero.
              • Módulo 6: Análisis Forense Pericial: identificación y resolución de Ciberataques. 6, 13 y 20 de Marzo, 10 y 17 de Abril.
              • Prueba final y jornada de despedida. 4 de Abril.

               

              Precio

              Los asistentes podrán asistir a la formación completa o bien a uno o más módulos de forma independiente. El importe de toda la formación es de 1950 euros + IVA. Los costes para asistencia a módulos individuales serán los siguientes:
              • Módulo 1: 300 euros + IVA.
              • Módulos 2, 3, 4 y 5: 400 euros + IVA cada uno.
              • Módulo 6: 500 euros + IVA.
              Los precios de los módulos presentan los siguientes descuentos:
              • Los miembros de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica (ANCITE) un 10 % de descuento. *
              • Estudiantes, desempleados o miembros de los Cuerpos de Seguridad del Estado un 5% de descuento. *
              * Los descuentos no podrán sumarse, aplicándose solamente uno de ellos.

               

              Información y reserva

              Podrá obtener más información y efectuar la reserva correspondiente a través de las siguientes direcciones de correo electrónico: info@zinksecurity.com y info@sidertia.com o bien llamando a cualquiera de los siguientes números de teléfono:
              • Zink Security: 91 014 95 07
              • Sidertia Solutions: 91 400 64 47

               

              Aspectos clave

              • Duración: 125 horas distribuidas en 6 módulos de 20 horas y una jornada final de 5 horas. También es posible asistir a uno o a varios módulos independientes
              • Horario: 16:00 a 21:00 con una periodicidad de Viernes.
              • Inicio: 26 de Septiembre de 2014.
              • Finalización: 4 de Abril de 2015.
              • Lugar: Madrid
              • Límite de alumnos: 15.
              • Material: Kit de bienvenida
              • Repositorio: Campus virtual con acceso a todos los contenidos del curso (libros, presentaciones, software, etc.)
              • Público objetivo: Administradores de TI, desarrolladores, consultores, auditores, analistas, estudiantes, miembros de fuerzas y cuerpos de seguridad, etc.

              Más información en: