30 dic 2019

Papá Noel ha llegado a Flu Project con algo de stego

Desde Flu Project sabemos que las fiestas son para descansar, sin embargo, como no podemos estarnos quietos y mañana es noche vieja, hemos pensado que seguro que os faltaban argumentos con los que ilustrar a vuestros cuñados durante la cena (siempre faltan...); así que os hemos preparado un pequeño CTF para que os entretengáis aprendiendo y de paso, pongáis a prueba vuestro potencial en el noble arte de la esteganografía para poder presumir ante vuestro cuñado :).

Hemos partido como base de la felicitación de navidad de Zerolynx, en la que hemos ocultado alguna cosilla...






Pista: "La navidad siempre es mejor si la acompañamos con un buen villancico"

¡Os deseamos una feliz entrada de año y buena suerte para resolver el enigma!

24 dic 2019

Lo mejor del año 2019, por Juan Antonio Calles (@jantonioCalles)

Muy buenas a todos, como manda la tradición, quería comenzar este artículo deseando a todos unas felices fiestas y un próspero año nuevo.

Si sois lectores asiduos de Flu Project, de sobra conoceréis que desde el año 2013, Pablo y yo os abrimos brevemente las puertas de nuestra vida, y os compartimos cómo nos ha ido durante el año que está a punto de finalizar. Este es ya el octavo año que lo hacemos, y como siempre decimos, nos sirve para mirar al pasado, aprender de los errores y seguir mejorando en lo personal y en lo profesional:
Me gustaría decir cada año que ese ha sido mi mejor año, ya que sería sinónimo de crecimiento y evolución, pero la vida te enseña que siempre hay épocas mejores y otras peores, y muchas de las variables que afectan a ello se escapan de nuestro control. Este año he querido echar un vistazo atrás, y revisar algunos de estos posts, y he podido comprobarlo de primera mano. La manera de escribir, los comentarios entre líneas, las actividades en las que me he involucrado cada año, han denotado el estado de ánimo de cada época, y la influencia que tenían en mí, tanto mi situación personal, como profesional.

Soy una persona bastante prudente, muchos me conocéis, y cuando "digo" algo, más que "decirlo", lo que suelo hacer es afirmarlo. Medito enormemente cada decisión que tomo (quizás demasiado), y no suelo dejar lugar a la improvisación. Para cada plan A que llevo a cabo, siempre suelo tener un plan B, y en muchas ocasiones hasta un plan C. Mis socios me suelen decir que soy la calculadora, porque me gusta sacar estadísticas de todo, y medir "cómo de mejorable" es cada actividad que realizamos. Creo que es algo positivo y que todos deberíamos hacer, ser autocríticos con nosotros mismos, y exigirnos más. Y no me refiero a lo profesional, ni a dar más conferencias, publicar más papers, desarrollar más herramientas, u obtener más certificaciones. Al menos, no principalmente. Sino que me refiero a exigirnos más con la vida en general. Dedicar tiempo a quienes no se lo dedicamos tanto, pensar más en los demás, empatizar con los seres humanos que tengamos enfrente, y entender sus situaciones, no acomodarnos en la vida, ... son trabajos que debemos autoexigirnos para evolucionar, y en muchas ocasiones, para liberarnos de cargas que llevamos en el saco virtual que todos tenemos atado a la espalda. Alguien algún día me dijo que es obligación de las personas al morirse, el haber dejado el mundo un poco mejor de lo que se lo encontraron al nacer, y desde entonces, trato de que esa frase sea mi máxima.

Es difícil definir este 2019 con una palabra, pero podría definirlo como el año de la "consolidación". Aunque no tenía nada que demostrar a nadie, ni en lo profesional, ni en lo personal, sí tenía que demostrarme a mí mismo que si lograba alcanzar una actitud más resiliente, podría llegar a superar retos que hasta el momento me parecían una locura y me tenían bloqueado. ¡Actitud ON! Como dice mi socio y buen amigo, Miguel Ángel. Hace tiempo que decidí que esos retos me llevasen a montar y gestionar una empresa (3 en la actualidad), con varios socios y buenos amigos, y combinar todo ese esfuerzo que inherentemente lleva el cargo, con un mundo tan exigente como el de la ciberseguridad, en el que cada día que te pierdas acabas desactualizado, conlleva una ardua tarea de gestión del tiempo, ya no para seguir creciendo y mejorando, sino tan simplemente, para mantenerse. Pero me gustan los retos y los charcos, y ello metido en una coctelera con buen hacer, buenos compañeros de viaje y "actitud ON", solo puede dar un resultado, "éxitos".

Este 2019, con el viento de cara y una gran tripulación, he podido llevar a buen puerto varios proyectos importantes que llevaba forjando desde hace algún tiempo, algunos incluso varios años. Uno de los principales ha sido el lanzamiento de una nueva marca, para ampliar el catálogo de servicios que venimos ofertando desde nuestra empresa, y que en los escasos 6 meses desde su lanzamiento, ya ha comenzado a rodar sola con bastante éxito y buena aceptación. ¿Qué más se puede pedir?

En apenas un mes, Zerolynx superará los 2 años de vida, y de aquel pequeño equipo que comenzó la aventura, a los ya camino de 30 que conforman el grupo, hay un océano; y este crecimiento tan grande y estable solo ha sido posible por el gran trabajo y dedicación de todo el equipo, que funciona como una piña unida. Nos encontramos llevando la ciberseguridad de grandes compañías (ya sabéis que no soy de hablar de nadie, ni me gusta publicitar para quién llevamos la seguridad, soy de los que piensa que lo único que se consigue así, es ponerles una diana en la frente), y esa confianza solo se logra no fallando desde el día 1 al 365. Estoy muy orgulloso del equipo que tenemos, estoy como al padre que se le cae la baba con sus retoños, la verdad que son todos geniales, y este éxito no habría sido tal sin ellos.

Volviendo al terreno más personal, alguno me habéis dicho que se me ha visto en pocas conferencias este año, pero la realidad es que ha sido el año que más he impartido. Anoche conté más de 30, entre conferencias en CONs, talleres, charlas en universidades y empresas, y otros congresos. Únicamente que estoy prodigándome más por el ambiente profesional, y dejando las CONs al resto del equipo. Aún así, tuve la oportunidad de dar algunas conferencias en CONs al uso, como la Euskalhack, que la tenía en pendientes de hace algún tiempo, donde estuve hablando con mi compañero Jesús sobre QUIC y HTTP/3, y de la que por cierto, os hemos preparado una 2ª parte, mucho más completa, para la próxima Sh3llcon, o el HackON, nuevo evento que arrancaron este año los estudiantes del Grado de Ciberseguridad de la URJC, y al que no podíamos dejar de darles nuestro apoyo.

De nuevo, este año estuve apoyando a Pablo con sus eventos How To Hack, alguno de los cuales fue celebrado en nuestras oficinas, y como no podía ser de otra manera, con mis otros brothers, Angelucho y Josep, lanzamos las séptimas (ahí es nada) Jornadas X1RedMasSegura. También repetimos por sexta vez nuestro concurso de infografías, el cual contó con el apoyo crucial de Olga (alma máter del concurso) e Iván, y la ayuda inestimable de David en todos los temas de imagen y sonido. Los vídeos de las conferencias y demás detalles sobre el evento, podréis disfrutarlos en nuestro sitio web oficial:


En este 2019, nos volvieron a nombrar a Pablo y a mí como Influencers en Ciberseguridad, en este caso, por un estudio realizado por la agencia Zinkup Marketing, y tuve la oportunidad de colaborar bastante con la prensa en general, y sobre todo, con la escrita, aunque también estuve por las ondas de Capital Radio, con mi compañero Pablo, o de eitb, representando a Osane.



Este año he pasado bastante tiempo por Euskadi, donde estamos impulsando nuestra empresa Osane Consulting, y me habréis leído seguramente por bastante prensa local, como en los diarios Expansión, Estrategia Empresarial, Gasteiz hoy, o en el periódico El Correo:


También tuve algunos artículos por revistas especializadas del sector como IT Digital, Red Seguridad, Revista SIC, e incluso dos entrevistas que me hicieron desde Panda:



Este año también tuve la oportunidad de colaborar con varias universidades, como la Rey Juan Carlos, La Universidad Europea, La Universidad Politécnica de Madrid y la Universidad de Castilla-La Mancha, donde estuve impartiendo clases, dando conferencias, llevando varios trabajos finales de máster (uno por cierto sobre Ransomware muy interesante, y del que me encantaría hablaros próximamente) y participando como evaluador en varios tribunales. Además, este año nos estrenamos como mentores en el programa de mentoring del Grado en Ciberseguridad de la Universidad Rey Juan Carlos.


También he colaborado con algunas asociaciones como Isaca, donde impartí uno de los CSX Hands on Labs con mi buen amigo Jesús (compañero de fatigas desde los tiempos de Zink Security), y que dedicamos al mundo del análisis forense digital.


Pero sin duda, uno de los principales puntos del año para mí, ha sido el relanzamiento de Flu Project :), tras unos años en los que el tiempo no nos había permitido dar continuidad a nuestra tradicional forma de publicar posts diariamente, con trucos, herramientas, y demás temas de interés, de fácil lectura, con el objetivo de manteneros al día en el mundo de la ciberseguridad. 2020 es el año donde celebraremos nuestro X aniversario, y queremos hacer algo grande, por lo que no dudéis en suscribiros a nuestro feed, que prometemos dar bastante guerra :)


Me dejo muchas cosas, pero no quiero aburriros mucho más, simplemente daros las gracias por vuestro apoyo en este 2019, por seguir leyéndonos un año más, y por ayudarnos a seguir creciendo.

Qué paséis esta Nochebuena grandes momentos con vuestros familiares y seres queridos, y que tengáis unas felices fiestas.

¡Un fuerte abrazo y Feliz Navidad!

18 dic 2019

Año 2019. My Backup. Lo mejor del año. @pablogonzalezpe

El año 2019 está llegando a su fin. Pocos días, pocas horas, pero muchos momentos por vivir. La navidad pone punto final a un año al cual, como siempre, debemos hacer balance. Es algo sano, algo que hace que los 365 días de esfuerzo diario merezcan la pena. Lo que se queda dentro de ti. Lo que guardas para contar a tus amigos, tus familiares o a los que están por venir. Vivencias que se quedan exprimidas en estas líneas con el fin de poder ser eso, un recuerdo que pueda el día de mañana añorar, recordar y disfrutar. 

Siempre pienso que el año siguiente no puede ser mejor. Es difícil valorar si un año es mejor o peor que el anterior, simplemente con elementos del trabajo. Necesitamos valores de juicio mayores, más importantes, como el factor personal. Sin duda, ha sido un año intenso. Ha sido un año que recordaré por varias cosas. Creo que no me equivoco si digo que ha sido uno de los años más importantes en mi carrera profesional.

Es cierto que Juan Antonio y yo hemos hecho ya un "classic" el hacer este resumen anual de vivencias, experiencias, éxitos y fracasos (que importante es el fracaso hoy en día para muchas cosas, cuanto puedes aprender de él). Cómo decía anteriormente, un ejercicio sano de reflexión con uno mismo y escritura, la bella escritura. Quería dejaros los enlaces de mis resúmenes anuales que he ido publicado en Flu Project. No para que los leáis. Es un ejercicio para mí. Me gusta recordar. No olvidar. Uno tiene que recordar siempre de dónde viene, quién es, cuáles son sus valores, quién es la gente que le importa, qué es lo que hace que se levante cada mañana. Uno tiene que ser fiel a uno mismo. 
Hace poco me paré a pensar en algo que dejé escrito por la tercera década. Hay momentos en la vida en la que ésta va demasiado rápida, empezamos a sentir que la vida pasa, la disfrutamos, supongo, la vivimos, seguro, pero sobretodo vemos como pasa y pasa. Cuando te sientas en el sofá con la familia por navidad, piensas otro año más. Se quiere a los que están y se echa de menos a los que no. Cuando esto lo haces varias veces, en diferentes años. Empiezas a ver qué la vida pasa, rápida, sin mirar atrás.  

A por los 33, me diré dentro de poco. El año 2020 seguro que trae cosas, buenas y malas, pero lo que es seguro es que traerá cosas. Será el año en el que viva los 33 y es que la rueda no para. La vida no se detiene y tenemos que seguir sumando momentos, experiencias, vivencias a todo lo que somos. 

No quiero aburrir, ni aburrirme, y voy a empezar a dejar cosas que he ido haciendo durante este año. El año comenzaba con la resaca del día 1 de enero y con clases de UNIR el día 2 y 3 de enero. Como veis no siempre se pueden tener largas vacaciones. Este año ha sido el último que he estado en el Máster de Seguridad Informática de la UNIR donde he cerrado una etapa de 4 años. Una gran etapa para mí. 

En enero continuamos haciendo el How To Hack de la mano de hackersClub y TheSecuritySentinel. Un evento de bar donde se hacen charlas y se habla de diferentes temáticas de interés. Todo muy práctico. No es seguro que en 2020 se sigan haciendo, aunque si es por mí, seguro que sí. Creo que es un ambiente diferente donde la gente puede acercarse de otra forma al mundo de la ciberseguridad y compartir experiencias en un ambiente distendido. 

El 25 de enero tuve mi Sh3llcon más express. Por motivos personales no pude estar más que unas horas en Santander para disfrutar de Sh3llcon. Mi casa. Era el V aniversario del congreso y anunciaban una noticia fulminante. Sh3llcon cerraba. Ponía punto final a 5 años de inagotable esfuerzo por acercar a Cantabria la Ciberseguridad. Mi charla fue sobre OAuth y los detalles que debemos controlar para no caer en un ataque de phishing evolucionado. 

Por suerte meses después, Sh3llcon vuelve. Sexta edición y tengo el honor de volver a estar allí. Por sexto año estaré allí (taller + charla). Gracias al equipo de Sh3llcon por todo lo que hacéis. 

De enero también recuerdo que las clases de la UCLM comenzaban en ese año. Por otro lado, la gente del Grado de Ciberseguridad de la URJC montaban el congreso HackON. Tuve el honor de ser ponente en su primera edición y mostrar algunos proyectos que hacemos en el departamento de Ideas Locas en Telefónica. En el año 2020, se celebra la segunda edición y, en esta ocasión, no estaré para dar charla, mi compañero Lucas Fernández, del equipo de Ideas Locas, estará impartiendo un taller sobre OSINT y diferentes técnicas que seguro no dejan indiferente a los que asistan. 

Llegamos a febrero. El 1 de febrero volé a Tenerife para dar una charla en hackron. Otra CON amiga. La charla fue sobre ibombshell y uac-a-mola, cómo se hicieron, qué aportaron y cómo fueron presentadas en BlackHat Europe en los años 2017 y 2018. Ese mismo día volé de vuelta. Ida y vuelta en el día, de nuevo por motivos personales. Por tercera vez estuve con Cecilio e Igor en este gran congreso que hacen en la isla. 


En febrero participé en una MasterClass con la UCAM para hablar de seguridad ofensiva. Siempre es un placer colaborar. El sábado 9 de febrero fui por primera vez, junto a mi compañero Álvaro Nuñez a dar una charla a H-cON, la conferencia de HackPlayers. Un blog amigo y un blog referente en todos estos años, como bien le hice saber a Vicente. La ponencia fue sobre iBombShell y los diferentes usos que tiene la herramienta. 

También en febrero participé, por última vez, en el curso experto de Blockchain de la Universidad Europea de Madrid. Invitado un segundo año por Felix Brezo y Yaiza Rubio, participé con una sesión sobre Gestión de vulnerabilidades. El viernes 22 estuve en Morteruelo CON, con el gran amigo Rafa Otal. Impartí una charla sobre OAuth y disfruté de un congreso de amigos que hacen que todo sea cómodo. Esa misma tarde mi tren llegaba a Madrid para participar, bien entrada la tarde, en un Hands On Lab de ISACA. Me tocó hacerlo sobre Metasploit, en esta ocasión. Al día siguiente, clase en la Universidad Europea de Madrid en el Máster de Seguridad de las Tecnologías de la Información y las Comunicaciones. 8 horas. En este Máster soy, por segundo año, Director, lo cual me llena de orgullo, ya que me permite tener una visión diferente y poder profundizar en ciertos escenarios. Espero poder seguir aportando lo mejor de mí. 

El día 8 de marzo tuve una charla de 2 horas en Salesianos Atocha. Me quedé con buen sabor de boca, un auditorio muy lleno, gente que quiere escucharte y disfruté de dicho momento. La charla fue sobre ciberseguridad y la experiencia vivida por mi parte en estos últimos 10 años. Este tipo de charlas siempre son un reto para mí, ya que se "salen" de lo normal. 

Llegó la semana del 25 de marzo. RootedCON. Palabras mayores. Este año he tenido los Rooted Lab, por séptimo año. Esto me deja sin palabras. Solo gracias. Gracias a la gente por su respaldo y gracias a Rooted por confiar en mí. En esta ocasión, tocó un Lab de Ethical Hacking y otro de Powershell Ofensivo (primera vez que se hacía). 

Además, impartí una charla en el congreso, junto a mi compañero Enrique Blanco de Ideas Locas. La charla iba sobre cómo la Inteligencia Artificial ha llegado para quedarse en la ciberseguridad y los diferentes usos que se pueden aplicar, desde el punto de vista malicioso y desde el punto de vista defensivo. 



Y si nos quieres escuchar en inglés...


Llegamos a abril. Participación en FutureJobs en Coruña y charla (online) en Nariño - Colombia. Las clases de Universidad no pararon, mi querida UEM estuvo presente con diferentes módulos. Puedo decir que Abril fue un mes "tranquilo". 

En mayo las clases siguieron, participé como docente en el Master Online de Ciberseguridad de la UEM. También soy docente en la UOC dentro de una asignatura y llevando TFMs. Puedo decir que disfruto con ello y que es vocacional. Como podéis ver, también puedo decir que mayo fue un mes "tranquilo". Esto permite recargar, dentro de lo que cabe las pilas. He de añadir que tuve radio en una cadena famosa para hablar de ciberseguridad. Este año no he tenido mucho de ello, pero sí he tenido 3-4 apariciones. 

En junio tuve grabación con Telemadrid. En otros años hemos tenido más grabaciones de televisión que actualmente. En este mes volvimos a hacer un How To Hack. El último hasta la fecha. Visitamos el programa de Monica Valle y Pablo San Emeterio para hablar de Flu Project. Nosotros fuimos el episodio 52. Como se puede ver en la foto: verano.


En julio llegó el día de LeHack (relacionado en el pasado con Hacking Paris) en París. Un congreso que se celebró durante el fin de semana del 5 de julio. Mi compañero Fran Ramírez y yo fuimos a impartir un taller sobre cómo aprender ciberseguridad a través de los videojuegos y la IA. Tuvimos una grata sorpresa y experiencia en París. Un evento muy grande. Si tenéis la oportunidad de pasar por allí, recomendado. 


Me renovaron el MVP de Microsoft. Tengo el honor de ser reconocido por Microsoft por tercer año. Seguiré esforzándome por contribuir con la comunidad en la forma que puedo. Este julio de 2020 espero poder contar con una cuarta renovación de MVP.

Pasamos por agosto, tiempo para recargar pilas, tiempo para pensar en nuevas ideas, proyectos y no dejar de lado nada, pero sobretodo, tiempo para descansar. Tocó ir a Japón. Cultura diferente. Perfecto para la desconexión.

No quiero dejar pasar la oportunidad para hablar de hackersClub. A principios de 2017, me lancé a generar una marca de formación a través de hackersClub. Muchos me preguntan por ello. hackersClub sigue vivo, como muchos sabéis, a través de una alianza que se realizó en octubre de 2017 con The Security Sentinel. Tenemos la flexibilidad de poder operar con facilidad, pero siempre de forma autónoma. La formación se sigue haciendo, online, presencial y a medida. Todo lo que se necesite. En definitiva, el proyecto sigue muy vivo y con ganas de seguir aportando. El catálogo de formación se puede ver en el siguiente enlace. Contento de ver cómo el pentesting con Powershell, con Metasploit, las auditorías web o el hardening de servidores Windows ayudan a muchos pentesters y administradores a mejorar sus conocimientos. 

Llegamos a septiembre. En septiembre todo se reactiva. Tenemos un sprint de año muy largo y con muchas actividades. Un sprint que hace que lleguemos con la lengua fuera. El 13 de septiembre hice un Rooted Lab en Valencia, dentro de Rooted CON Valencia. Por quinto año estuve dando un Lab en este evento. He tenido la suerte de estar en todas las ediciones de Rooted Valencia y eso es algo de lo que me encuentro orgulloso. Ver nacer un evento y haber podido colaborar y aportar tu granito de arena hace que sea especial para mí. 

El sábado 14 di una charla sobre uac-a-mola^2. La evolución de uac-a-mola orientado a disponer de un uac-a-mola escrito en Powershell y la posibilidad de incluir a uac-a-mola como extensión de Meterpreter. Ese mismo día aparecí en la TechParty, en la nave. Por la mañana en Valencia y por la tarde en Madrid para hablar del concepto del bypass de UAC y de diferentes técnicas.

El lunes 16 tuvimos un encuentro de amigos. Fuimos invitados al Pardo para hablar de Deep Fakes y de Inteligencia Artificial. Mi compañero Enrique Blanco y yo fuimos a mostrar la evolución de la ingeniería social y cómo las Deep Fakes entraban en este juego. La sorpresa nos la llevamos nosotros cuando recibimos esto. 


Septiembre acabó con un poco de radio, defensas de TFMs en la UEM, clases y una MasterClass en la UCAM. El mes prometía y desde luego no me defraudó con la carga. 

Llegó octubre. La primera semana es de Navaja Negra. En esta ocasión Álvaro Nuñez y yo llevábamos un mini taller sobre Bluetooth. Estuvimos jugando tiempo atrás y quisimos recopilar ciertas cosas en un mini taller. Navaja Negra es de esos congresos que siempre gustan, que no dejan indiferente y que regala un buen rollo especial. Puse en marcha mi buzón público en el que se puede contactar de forma sencilla

Octubre siguió con clases, cursos y alguna MasterClass, antes de llegar al final del mes. Tenía mi viaje a la 8dot8 de Chile. Allí tenía 3 talleres técnicos. Una experiencia que viví el año pasado y que fue espectacular. Este año viajaba por tercera vez (la primera en 2014) a Chile para disfrutar de la 8dot8. Al llegar allí viví una experiencia diferente a lo programado. Una situación muy difícil se vivía allí. Espero que todo se pueda solucionar. Espero poder ir de nuevo el próximo año.

La charla se aplazó y la 8dot8 se celebró los días 12 y 13 de diciembre. Aquí os dejo mi charla en remoto. No pude volver en diciembre a Santiago, por lo que tuve que hacerlo online. 


Y entramos en noviembre. Una cita obligada es HoneyCON. Un congreso que me hace sentir como en casa. Un congreso que este año nos proporcionó una placa a los que hemos estado siempre o casi siempre apoyando. Gracias a vosotros por vuestro esfuerzo. 


Además, quiero agradecer las palabras del amigo Raúl Renales. Estas cosas son las que valen, la opinión que otros puedan tener de ti, las cosas que la gente del sector te puede decir. Con ello me quedo. Así me siento, noto que los años van llegando, pero la ilusión sigue estando ahí, como un chaval que empieza a jugar con la tecnología y que quiere aprender y aprender. 


El viernes 16 fuimos para Sevilla. Álvaro Nuñez y yo dimos un taller sobre Empire e iBombShell de 2 horas. SecAdmin también es especial para mí, ya que, que yo recuerde, he estado en 4 ediciones. Un evento que, a pesar de las adversidades, sigue luchando por estar ahí y ser importante. 

Este año he debutado en un Bootcamp de Ciberseguridad. Este Bootcamp pertenece a Bit. Una experiencia intensa en el que durante 5 días tocaba impartir una gran cantidad de conocimiento, en mi caso de redes. 

A finales de noviembre llegó el Cybercamp. Por sexto año y tuve la suerte de estar por sexta vez. Tenía que dar un taller sobre Auditoría y Hacking a BLE. Además, tuve una charla sobre la matriz ATT&CK y pude mostrar una PoC de emulación de adversarios. Seguramente, en un futuro, pueda hablaros más sobre esa emulación de adversarios. Se pueden ver las presentaciones en los videos proporcionados por Incibe en su canal de Youtube


En diciembre acabé las clases del Máster de Ingeniería Informática, donde doy una asignatura de Seguridad Informática. Quinto año de asignatura y nunca se sabe si el último. Fui invitado por la UCLM para dar un crédito en el Máster de Ingeniería Informática. Esto se traduce en un viaje exprés para hacer dos tardes. Grata experiencia de la mano de José Luis Martínez. 

Y llegó el momento BlackHat Europe. Por tercer año he tenido la suerte de ir. El equipo de Ideas Locas ha estado presente en el evento presentando HomePwn. HomePwn es una herramienta que se ha creado en el equipo de Ideas Locas y que permite realizar diferentes tipos de pruebas para hacer pentesting al resto de cosas que no sea un ordenador. La herramienta fue presentada en BlackHat este año y os dejo un video.


Por último, decir unas palabras... 4 años del departamento de Ideas Locas en Telefónica. 2 años con nombre. Empezando con una persona y llegando a ser siete. El día a día que marcamos con nuevas ideas sobre las que trabajar, con nuevas inquietudes, tenemos la suerte de ser un equipo ágil, un equipo con diferentes perfiles que enriquecen a cada uno de los miembros del equipo. Orgulloso de trabajar en este equipo. En estas fechas brindaremos por otro nuevo año, en el que esperamos que nuestro trabajo tenga el impacto, la visibilidad y la utilidad que buscamos en cada gramo de esfuerzo que ponemos al servicio de la innovación.

Ahora sí, toca despedir haciendo un recuento de kilómetros. El año pasado fue la primera vez que lo hice, haciendo más de 93.000 kilómetros. Este año no hay tantos kilómetros, pero superando los 63.000 para llevar el mensaje, difundir el trabajo y el esfuerzo de todos.


Agradecer a amigos (los de verdad), a familia, a ella, cada día y cada momento. Cada esfuerzo en luchar para que pueda hacer lo que realmente me llena, en cada segundo que me esperan por llegar tarde, en todo lo que han hecho por mí desde que era un niño... La vida avanza y quiero seguir dándolo todo en cada paso que doy. Como siempre. Gracias a aquellos que me hacen sentir especial, desde cualquier punto de vista. Gracias a los que construyen conmigo mi vida. A mis padres, sin ellos nada hubiera sido igual. Gracias a ti, a ti que siempre lees esto. A ti que haces que cada día sea un nuevo futuro. A ti (mi) hacker.

P.D. Pronto alguna sorpresa literaria... o eso espero. A empezar fuerte el 2020!


13 dic 2019

¡Nos vamos de vacaciones!

¡Buenas a todos! hoy viernes comienzan las vacaciones para muchos de vosotros, o al menos, para los más afortunados que todavía os queden días que gastar :)

Por nuestra parte vamos a tratar de descansar unas semanas para recuperar fuerzas de este intenso 2019, en el que hemos vuelto a recuperar nuestro alma principal, nuestro blog y su uno al día.

Mientras tanto, para que podáis leernos durante estas navidades, os hemos preparado una selección de los 8 artículos más visitados del año, que en su conjunto alcanzan la cifra de 50.000 visitas, ¡disfrutadlos!:

  1. OpenLibra: una biblioteca online gratuita con numerosos recursos de desarrollo, sistemas, redes y seguridad
  2. 7 recursos para iniciarse en el mundo de los CTF
  3. Descubriendo las URLs ocultas de los acortadores
  4. La ardilla, una de las mejores armas para las auditorías a entornos OT
  5. El intrusismo laboral (empresarial) en España en el sector de la ciberseguridad
  6. Explotando BlueKeep con Metasploit
  7. Activación de protección anti Keyloggers en Keepass
  8. UFED Cellebrite: una gran opción para los forenses de dispositivos móviles

En unos días tendréis, como viene siendo tradición, los resúmenes del año de los Owners del blog, Pablo y un servidor, donde os contaremos nuestras peripecias durante este 2019.

Por lo que solo me queda daros las gracias por leernos día a día, y desearos unas felices fiestas.

¡Un abrazo en nombre de todo el equipo de Flu Project!

12 dic 2019

Recopilando posibles emails de un objetivo con Email Permutator

Buenas a todos, el pasado martes tuve la oportunidad de acercarme por el taller de Inteligencia que impartieron Iván Portillo y Wíktor Nykiel de Ginseg, dentro de los CCN-CERT LABS que se celebraron con motivo de las Jornadas CCN STIC que están teniendo lugar durante esta semana. En el taller tuve la oportunidad de apuntar algunos recursos y utilidades que no conocía, y que siempre vienen bien para seguir ampliando nuevas fuentes y capacidades para ir mejorando los trabajos diarios. Una de las herramientas más simples que contaron, pero que os aseguro que os será más útil de lo que pueda parecer, es Email Permutator:


En las investigaciones que realizamos a nivel de Inteligencia, una de las primeras actividades es la de recopilar cualquier tipo de medio de comunicación existente del objetivo (teléfonos y emails principalmente), con los diferentes fines que tenga en el transcurso de la investigación (generar un contacto directo, verificar en qué sitios web o redes sociales se ha registrado, comprobar si figura en alguna lista de leaks, etc. etc.). Para esta tarea, nosotros utilizamos un script propio, que hemos ido adaptando según hemos ido avanzando en diferentes investigaciones, pero Email Permutator nos permitirá complementar la salida de nuestro script con nuevas ideas de emails que podrían existir:






Estas herramientas se complementan con la que comentamos hace algunos meses para chequear la existencia de un email:


Automatizando ambas tecnologías, podremos rápidamente obtener un listado de potenciales direcciones de correo asociadas al objetivo de la investigación.

Útil y sencillo, ¿verdad?

Saludos!

11 dic 2019

Tips de privacidad para Windows10 - Parte 2

Muy buenas!

En anteriores publicaciones comenzamos a tratar diferentes formas de cambiar la configuración que viene dada en un sistema Windows 10, por lo que en esta segunda parte vamos a mostrar más formas de realizar cambios a través de las consolas de comandos de Windows y de Powershell (ambas con permisos de administrador).

1. Para eliminar paquetes de aplicaciones que vienen por defecto en Windows 10, en la consola de Powershell debemos escribir los siguientes comandos (según nos interese):

Get-AppxPackage -AllUsers *store* | Remove-AppxPackage
Get-AppxPackage -AllUsers *zune* | Remove-AppxPackage
Get-AppxPackage -AllUsers *photo* | Remove-AppxPackage
Get-AppxPackage -AllUsers *bing* | Remove-AppxPackage
Get-AppxPackage -AllUsers *phone* | Remove-AppxPackage
 [Resultado en la consola de Powershell]

Los comandos anteriores son un ejemplo de los paquetes que podemos eliminar, pero si deseamos conocer todos los instalados en el equipo, debemos escribir:
Get-AppxPackage -AllUsers | Select Name.
2. En el siguiente conjunto de comandos, podemos ver que algunos de los registros a modificar hacen referencia al usuario con el que hemos iniciado sesión (HKCU), y otros al equipo local (HKLM). En este punto es altamente recomendable leer antes de copiar y pegar en la consola de comandos, ya que estamos cambiando y creando registros (it's more sensitive), y es posible que no queramos cambiar todas las opciones que se muestran a continuación, las cuales se han dividido en secciones:

Windows Defender:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v SpyNetReporting /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v SubmitSamplesConsent /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v DontReportInfectionInformation /t REG_DWORD /d 1 /f


Malicious Software Removal Tool:

reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v "DontReportInfectionInformation" /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v "DontOfferThroughWUAU" /t REG_DWORD /d 1 /f

Current Version:
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SecurityHealth" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run" /v "SecurityHealth" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance" /v "Enabled" /t REG_DWORD /d 0 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\SecurityHealthService" /f


Windows Reporting:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Error Reporting" /v Disabled /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting" /v Disabled /t REG_DWORD /d 1 /f


Windows Update:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v NoAutoUpdate /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v AUOptions /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v ScheduledInstallTime /t REG_DWORD /d 3 /f


[Resultado en la consola de comandos]


Espero que haya resultado útil este conjunto de opciones :)

Muchos maullidos!
M


10 dic 2019

Tips de privacidad para Windows10 - Parte 1

Muy buenas!

Volvemos del puente de Diciembre para hablaros sobre la privacidad en Windows. Es bien sabido que Windows envía datos de los usuarios para mejorar la experiencia de uso (entre otras cosas), por lo que este post está orientado a la posibilidad de deshabilitar o cambiar algunas configuraciones que vienen por defecto en Windows10, en cuanto a aspectos de privacidad y personalización del sistema.

A continuación vamos a ver diferentes formas de realizar algunos de estos cambios:

1. Feed & Diagnostics.
En los ajustes de Windows buscamos “Feedback & diagnostics” y seleccionamos la opción Basic.
 
 [Sección "Feedback & diagnostics"]

2. Servicios de Windows.
Accedemos a los servicios de Windows (usando Win+r y “services.msc”, o en el buscador de Windows como “Services”), buscamos el servicio “Connected User Experiences and Telemetry”, y lo cambiamos a “Disabled”.

[Servicios de Windows]

3. AllowTelemetry.
Accedemos a los registros de Windows (a través de Win+r y “regedit”, o en el buscador de Windows como “regedit” o “Registry Editor”), y buscamos la ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection 
Creamos un nuevo campo-valor llamado “AllowTelemetry” con un valor tipo DWORD (32bits) y lo ponemos a 0.

[Editor de registros]

 [Campo-valor del registro "AllowTelemetry"]

4. AllowCortana

Hay varias, por ejemplo, dos de ellas son las siguientes:

a.) Siguiendo con el editor de Registros de Windows, esta vez nos vamos al padre del punto anterior (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\) y creamos una nueva clave llamada “Windows Search”, y dentro de ésta creamos un campo-valor llamado “AllowCortana” de tipo DWORD (32bits) el cual ponemos a 0.

[Editor de registros]

b.) A través del editor de las políticas de grupo, al que accedemos a través de gpedit.msc, y buscando en la sección "Configuration > Administrative Templates > Windows Components > Search" buscamos “Allow Cortana” y comprobamos si su valor se encuentra como “Disabled”.

[Editor de políticas de grupo]

[Campo a modificar]


En publicaciones posteriores mostraremos otras formas de añadir, modificar y/o eliminar configuraciones por defecto que se encuentran en una instalación de Windows 10.

 Muchos maullidos!
 M

5 dic 2019

Extrayendo la imagen de #WhatsApp con Checkwa

Buenas a todos, en el post de hoy quería compartiros un interesante sitio web que os permitirá extraer la imagen de WhatsApp de un nº de teléfono de forma sencilla, sin dejar más rastro que el nº de teléfono consultado y el que queráis dejar al consultar el sitio web :) Se trata de Checkwa:


Su funcionamiento es tan simple como indicar el número para realizar la búsqueda, y pulsar el botón de Search:


Personalmente, en ciertas investigaciones no recomendaría utilizar una plataforma ajena para localizar detalles sobre un nº de teléfono que pueda tener algo de criticidad, pero sin duda es una manera rápida para extraer una imagen asociada a un número, que luego podríamos rastrear en redes sociales, o en otros medios digitales.



Saludos!

4 dic 2019

Security Certification Progression Chart 2020

Buenas a todos, mientras leía el artículo de ayer de Daniel sobre las Certificaciones y los Haters, el cual me encantó por cierto, recordaba un interesante hilo que vi en Reddit hace algunos días y que presentaba un gráfico muy potente con un esquema de progresión para las certificaciones de ciberseguridad. Me pareció muy curioso y completo, y no quería dejar de compartirlo con todos vosotros, por lo que os lo dejo a continuación:



Tenéis todo el detalle en su fuente original:


¿Qué os parece este programa de certificaciones?

Saludos!

3 dic 2019

Certificaciones y haters



Buenos días. Hace un par de meses participé en la presentación del programa de mentoring del grado de ingeniería de la ciberseguridad de la Universidad Rey Juan Carlos y tuve la oportunidad de hablar con los alumnos de diversos temas en los que estaban interesados, entre ellos, qué estudiar al salir de la Universidad. Por ello, he decidido estrenarme en Flu Project con un tema que para mí suele ser bastante polémico: las certificaciones de ciberseguridad. He decidido hablar sobre ellas, ya que fue un tema sobre el que me preguntaron los alumnos y pese a que se sale de la línea habitual de publicación del blog, me parecía muy interesante tratarlo por diversas circunstancias. Quiero dejar claro que, el artículo es una opinión personal (y no de este blog), y que está basada en mi experiencia en el sector. Por tanto, la considero tan buena o mala como la de cualquier otro profesional del sector y no como una verdad absoluta.

Si hablo de este tema, es porque últimamente en España está bastante de moda desacreditar los certificados y certificaciones, muchas veces sin haber llegado a plantearse ni siquiera cursarlas. Y es que, como dijo Julio Camba hace muchos años, la envidia del español no es conseguir un coche como el del vecino, sino conseguir que el vecino no tenga coche. Esto, por desgracia, se puede aplicar al mundo de las certificaciones. Hay de muchos tipos, al igual que hay muchos tipos de profesionales, los cuales pueden llegar a necesitar formación adicional. Por esto, no entiendo que existan críticos acérrimos. Cada una debe de tener su público, sus virtudes y sus defectos propios.

Muchas veces he escuchado eso de "tener certificaciones no aporta nada" y, puede ser verdad, no voy a ser yo quien diga lo contrario. El problema es encontrar la causa de por qué no le ha aportado nada. Tal vez esa persona haya cursado una certificación que no era la correcta para él, tanto por el contenido, como por el nivel. O, tal vez, ha sido su empresa quien le ha pagado una certificación que ellos necesitaban, sin tener en cuenta el interés del empleado. O incluso, puede que el formador no estuviera a la altura del curso. Puede ser, y en esos casos, como coordinador y profesor de una certificación como soy, no me quedaría más que aceptar mi parte de culpa y pedir disculpas. Pero lo que no creo que sea bueno, es decir a la gente que no se certifique, que no les va a valer de nada y que son un simple negocio, porque eso no es cierto. Por mi experiencia personal, sé que son tan válidas como otras opciones formativas y de autoaprendizaje. De hecho, mi primer trabajo, lo obtuve gracias a que tenía una certificación y a que alguien consideró que tener a alguien certificado en su organización, sería positivo para un proyecto.

Es cierto que hay un porcentaje de profesionales de este sector que "no necesitan" ningún tipo de certificación. Ellos mismos, a partir del conocimiento que trasmiten, son su propio aval. Profesionales de la talla de cr0hn o Pablo González, por poner gente del sector de sobra conocidos por todos los lectores de Flu Project, son un gran ejemplo de lo que os acabo de transmitir. Cómo todo en esta vida, también es cierto que hay otro pequeño porcentaje de personas que, en el momento en el que hablan por segunda vez, sabes que nada bueno puede salir de ahí... , pero a ellos no me referiría en ningún momento como profesionales, y mucho menos, de nuestro sector. 

Más allá de requerimientos de certificaciones en pliegos públicos o en RFPs de organizaciones privadas (algo muy habitual hoy en día), las certificaciones pueden llegar a sernos de utilidad a todos en algún momento de nuestra vida profesional. Es habitual, que cuando empezamos a trabajar en el mercado laboral y necesitemos demostrar que tenemos algún conocimiento en la materia, las certificaciones pueden ser importantes para ayudar a despuntar frente a nuestra competencia por un puesto laboral, o para cualquier otro tipo de candidatura. Y es que, no nos olvidemos, que muchas veces, quienes tienen la última palabra en las contrataciones no son personas técnicas, como cr0nh o Pablo González, por no cambiar el ejemplo, sino que quienes tienen la decisión final, pueden ser personas que poco se preocupen por el conocimiento y experiencia del trabajador, y solo se preocupen de que sean (o aparenten ser) los mejores y los más baratos. <Mente del seleccionador>Es simple, si alguien ha sido capaz de aprobar una certificación que está creada por un grupo de expertos del sector, debería de ser capaz de hacerlo bien a nivel profesional</Mente del seleccionador>. Cierto es que, hecha la ley, hecha la trampa. Son vox populi los casos de fraude en el OSCP en la India, y es más que probable, que no los contemos únicamente con los dedos de una mano ...

Nos guste o no, mientras no cambiemos esto, va a ser algo con lo que siempre nos encontremos. Por ello, no está bien desacreditar el trabajo de otros profesionales, sino que es necesario tener clara la utilidad de las distintas certificaciones y certificados dentro del mundo de la seguridad. Cómo dijeron de la popular compañía de VTCs, la ciberseguridad es un mundo muy amplio y hay sitio para todos...

2 dic 2019

Trazando aviones y barcos a través de radares online

Buenas a todos, en el post de hoy me gustaría listaros algunas páginas de radares online para trackear los movimientos de aviones y barcos en todo el mundo. Estas páginas son muy útiles en algunos campos muy concretos, pero en ciberseguridad se suelen mostrar en los cursos de OSINT porque quedan "guay", y acaban decorando además las pantallas (a más grande mejor...) de muchos SOCs. Es bien sabido que la realidad es otra, y que aportan poco en los proyectos de ciberinteligencia que venimos abordando las empresas en general que nos dedicamos a esto (excepto pequeñas salvedades, como en el ámbito militar, policial, etc. pero por eso he matizado "empresas"). Podríamos pensar en temas muy rebuscados, como en las estafas del CEO que suelen realizarse aprovechando que un directivo está a lo largo de un gran viaje en avión y no tendrá posibilidad de ver su buzón de email durante varias horas, y queremos saber "por dónde va", pero insisto en que son casuísticas muy rebuscadas.

Independientemente de ello, lo prometido es deuda, así que os listo algunos de los radares más molones de Internet :)
















En Google encontraréis decenas de estos sitios web. Ha surgido mucho negocio alrededor de estos datos, e incluso hay suscripciones a APIs bastante potentes, que nos permitirán absorber todos estos datos tratados y realizar todo tipo de queries de búsqueda. Si os gusta la materia, aunque sea a nivel de hobby personal, hay bastantes curiosidades alrededor de esta información.

Eso es todo por hoy, hasta mañana!