24 jul 2020

El mundo que viene: La crisis y la formación

Recientemente publiqué un artículo en LinkedIn el cual quiero compartir con todos vosotros. El artículo habla sobre lo que viene y la importancia que tiene la formación, en cualquier nivel, para poder adaptarse a los cambios, evolucionar ante la adversidad y ser resiliente. Os dejo el artículo

La pandemia que estamos viviendo nos dejará una de las mayores crisis sanitarias de los últimos 100 años, seguramente, no entiendo de ello. También se atisba una crisis económica donde visto lo visto puede alcanzar a la de 2008. Si esto se cumple sería una de las peores noticias, después de la crisis sanitaria. Sobre economía tampoco es que sea un experto, por lo que no puedo comentar mucho. Lo que como ciudadano si veo es que son dos frases que se repiten mucho. "Lo que está por venir". "El daño en la economía".

El otro día me puse a pensar: ¿Qué recuerdo del año 2008? ¿2009? ¿2010? Aquellos años comenzaba a trabajar, finalizaba los estudios de la Universidad y llegué a un mercado laboral destrozado. En el año 2010 y 2011 conocí de primera mano en cursos del INEM lo que era la crisis de la que tanto se hablaba. Familias enteras sin trabajar. Personas que celebraban tener una entrevista de trabajo después de 2 años sin ninguna. Personas que compartían sus malos momentos con el resto de la clase. La perspectiva que muchas veces un joven tiene, recién llegado, no es la perspectiva, ni los temores, que tienen los que saben de que va todo esto. Por cierto, sí, todos recordamos que en el año 2010, Iniesta marcó el gol de nuestras vidas. Un oasis de felicidad para un país que sufría una de las peores crisis que podemos recordar.

Sea como sea, sabemos que lo que viene no es fácil. Sabemos que el mundo avanza rápido, la tecnología más rápido y el reciclarnos e ir adaptando nuestras "skills" a los nuevos tiempo es una necesidad implícita en nosotros como personas. Esto último, no es de recibo para muchos, pero es así. ¿Cuántas veces habéis escuchado eso de: "Acabo la carrera, ya no voy a estudiar más"? Seguro que alguna vez a algún compañero de módulo, de carrera o de colegio. Yo lo escuché. Es un sin sentido. Una carrera tecnológica donde ya no tendrás que actualizarte y estudiar más. Eso no existe. Realmente el mundo empieza ahí, cuando acabas tus estudios y sales al mundo. Lo tienes a tus pies y solo ellos pueden andarlo, recorrerlo, profundizarlo.

Vocacional

Durante los últimos 11 años he tenido la suerte de poder hacer algo muy vocacional en mí. Y en los últimos 6 años he estado impartiendo clases en Másteres con temática de Ciberseguridad y Seguridad de las Tecnologías de la Información. He podido compartir vivencias y algo de conocimiento en las aulas. Era una vocación que tenía y que no sabía qué tenía hasta que en Informática 64, allá por el año 2009, me tocó hacerlo. "Dar un curso". Toda una odisea para un joven de 22 años de Móstoles que no había hecho eso nunca y que nunca se había planteado impartir formación. Quería programar, quería "hackear", quería aprender sobre todo lo que la seguridad informática se podía aprender, pero, ¿dar un curso?

De repente algo en mi interior cambió, y se cambió para siempre. Descubrí algo que me llenó y mucho. Ver cómo se podía transmitir un conocimiento a otra persona, cómo esa persona ponía de su parte para entenderlo, hacerlo suyo. Preparar una clase, preparar la parte práctica, entender lo que los alumnos esperan de ti, cumplir con los objetivos de lo que esperan de ti, que el conocimiento sea válido y aplicable. Al final, uno puede pensar que ser docente es sencillo, pero no es así. El docente tiene una responsabilidad bastante grande y es que debe cumplir con una serie de requisitos implícitos, empezando por la vocación, continuando por tu motivación y llegando a la forma de transmitir. Estos tres aspectos y, seguramente, me dejaré alguno mas son fundamentales.

Ciberseguridad y la UEM

En el campo de la ciberseguridad me he encontrado con algunos ejemplos curiosos. Yo pensé que la ciberseguridad se enseñaría desde un punto de vista práctico, al menos en su mayoría. Lógicamente, una parte de conceptos y teoría debemos aplicar, pero creo que el secreto, después de unos años con cientos (o miles) de alumnos, es el enfoque práctico y aplicado que hacemos de la ciberseguridad. ¿A qué parece un secreto a voces? Pues te sorprendería la de gente que he escuchado decir: "Me enseñaban ciberseguridad con slides y ni un ejemplo práctico".

Durante estos últimos 6 años he tenido el respaldo de la Universidad Europea de Madrid, la cual apostó por mí en 2014. En la que he sido Director del Máster de Seguridad de las Tecnologías de la Información y las Comunicaciones desde 2018 hasta este final de curso en 2020. En la que seguiré como profesor del Máster de Seguridad de las Tecnologías y de la Información. Estos 6 años de ver estudiantes pasar por las titulaciones, verlos formarse, crecer, aprender, es algo enriquecedor para uno y gratificante. Yo he aprendido mucho de los alumnos y de los profesores que he tenido de compañeros a lo largo de estos 6 años. Grandes profesionales: Alejandro Ramos, Alfonso Muñoz, Carmen Torrano, Marcos Gómez, José Antonio Rubio, Justo López y mas de los que no me olvido.

Creo que el nivel de la formación en España es alto. Por supuesto, esto es un tema de debate, ya que generalizar con algo tan amplio y complejo es imposible. Mi experiencia docente en los Másteres y, aún, Director del Máster de Seguridad de las Tecnologías de la Información y las Comunicaciones es que se está preparando a los alumnos para poder llevar a cabo trabajos en este campo, con sus diferentes "skills", así como sus diferentes aptitudes y sus diferentes motivaciones.

Enlazando con los tiempos de crisis, creo que la formación cobra una gran importancia, pero como ya os digo es una opinión personal. Estar preparado para una posible época hostil es importante, ser capaces de ser "resilientes", de tener adaptabilidad a las circunstancias que vayan a tener los mercados, independientemente del sector. Si bien en la crisis de 2008 pasamos por momentos de "negación" a los cambios y a la evolución, puede que tengamos lo mismo en los próximos años, pero si algo hemos aprendido es que la formación siempre será un buen camino para la adaptabilidad, la evolución y ese término apreciado llamado "resiliencia".

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González


21 jul 2020

#Vacaciones ¿Qué puedo hacer este verano? #Cibersecurity & Tech ++

Desde el punto de vista psicológico si queremos hacer algo este verano, lo ideal sería desconectar. La pandemia que sufrimos es algo que ha hecho que los días, para algunos, fueran más largos, que el calor apriete y nos agobie y que todo nuestro mundo, nos guste o no, haya cambiado. Por esta razón, lo ideal sería desconectar y pensar en ocio, dentro de lo que se pueda hacer y sea recomendable, y desconectar de nuestro trabajo y día a día. Sea como sea y paséis el verano como queráis pasarlo desde Flu Project hemos pensado en dejaros una lista de formación que puede ser de vuestro interés. 

A continuación os dejo el listado, no es un ranking ni nada por el estilo y he hecho hincapié en formación de ciberseguridad y de tecnologías en general, ya que hoy en día no es nada malo aprender de diferentes cosas. Encontrarás formaciones gratuitas y otras con descuentos. 

  • Si quieres fortalecer tus conocimientos en Powershell, desde el punto de vista del pentester (y también como sysadmin) este es tu curso. HCPP este verano (julio y agosto) con un 50% de descuento. El cupón: pablo50. Obtén el curso a 90€ y sácale jugo a tu Powershell.
  • La gente de Geekshubs dispone de un catálogo de cursos gratuitos en diferentes skills (centrado en el desarrollo), lo cual es bastante interesante para este verano. Aprende a usar GIT, a programar en NodeJS, UX, programación web, Ansible, iOS, etcétera. 
  • Si lo que te gusta es el tema de la electrónica y quieres entrar en el mundo maker o DIY, puedes optar por una formación que mi buen amigo Álvaro Nuñez-Romero está dando en Udemy. Puedes utilizar el cupón: FLUJULIO2020 y obtener cerca de un 90% de descuento. Puede que la formación se te quede entre 10 y 13 euros.
  • Incibe pone al alcance de todos unos cursos gratuitos a los que se podrá optar en el primer trimestre de 2021. Además, para este verano, tienes recursos que puedes consultar y ayudar en tu formación de la mano de Incibe. Interesante recurso para PYMES y concienciación.
  • Si lo que quieres es aprender en temas móviles y conocer los secretos de estos dispositivos, puedes ir a Academia ESET a hacer un curso gratuito. Es un curso enfocado en el conocimiento de las amenazas móviles y cómo protegerse de ellas. Un curso que en pocas horas habrás terminado. 
  • Para finalizar un clásico de la ciberseguridad. Si quieres mejorar tus conocimientos o meterte en el mundo Metasploit este es tu curso. Pentesting a sistemas con Metasploit. El curso tiene un descuento del 50% con el cupón: pablo50. El precio se queda en 85€. 

Sin duda, hay para todos los gustos. Si quieres profundizar en el aprendizaje y aprovechar el patrón para hacerlo, tienes muchas opciones. Sea como sea, disfrutad mucho de las vacaciones y de las posibilidades que tenemos en el mundo online.

16 jul 2020

Nuestro granito de arena para mejorar la ciberseguridad de los más pequeños

Hola lectores. 

Pese a que el martes os comentamos que nos íbamos de vacaciones, he querido hacer este breve post, para comentaros una nueva iniciativa que vamos a comenzar desde Flu Project a partir de septiembre y que terminamos de cerrar en el día de ayer. 

Desde Flu Project solemos colaborar en un montón de iniciativas de todo tipo y para cualquier público, como por ejemplo X1redMasSegura, desde la que mi compañero Juan Antonio Calles junto a Angelucho, Josep Albors y tantos otros organizadores y colaboradores, tratan de llevar la ciberseguridad a quién más la necesita, al internauta, independientemente de su edad y nivel de conocimientos. No obstante, creo que aún podemos ayudar más a la sociedad y desde fases más tempranas, y existe un largo recorrido por delante.

Los que me conozcáis personalmente. sabréis que se me da bien liar a la gente para participar en iniciativas y en definitiva, en cualquier tipo de plan, y que siempre que tengo la oportunidad, lo hago. En este caso, tengo la suerte de que Alberto del Mazo, un gran orientador educativo, sea mi amigo y una persona dispuesta a colaborar siempre que se le ofrece la oportunidad. Por este motivo, voy a abusar de su confianza y tratar de usar en beneficio de todos su destacado conocimiento.

Desde hace algún tiempo llevo dándole vueltas a una idea en mi cabeza, que parece que finalmente ha tomado forma. No se si será porque cada día veo que mis sobrinos usan más y más la tecnología, porque los que hacemos este blog, cada vez vamos siendo "más adultos" o simplemente, porque como muchos de nuestros lectores, me voy haciendo "mayor". Pero en unos meses voy a ser padre y me gustaría aportar mi granito de arena para llevar la ciberseguridad a los niños, dado que es una cosa que me preocupa cada día más. Y en esto, va a consistir esta colaboración. 


A partir de septiembre, vamos a lanzar una serie de posts en formato de cadena, en los que trataremos de ayudar en la concienciación de los más pequeños, para que el mundo sea cada vez más ciberseguro. Por ello, desde Flu project vamos a poner el conocimiento técnico de nuestro equipo profesional, y, Alberto, pondrá a nuestra disposición su conocimiento de reputado orientador, para que podamos llegar de la mejor manera a los profesores y estudiantes, y en definitiva, a la sociedad en sí.

La idea es que nuestros posts funcionen como un canal que ayude a dar soluciones a problemas habituales que para nosotros, como técnicos, no son problemas, o a tratar de ayudar a que nuestros jóvenes pierdan el miedo a ser perfiles STEM (que son y serán muy necesarios). Nuestra idea, es que los lectores de Flu trasladeis esta iniciativa a vuestros conocidos, una vez que la lancemos, y que tanto ellos, como vosotros, nos propongáis temas que tratar. Nosotros trabajaremos en conjunto para tratar de dar la mejor solución posible y ayudar en todo lo que esté en nuestras manos.

En resumen, JUNTOS podremos poner un granito de arena importante para ir dando soluciones a problemas de ciberseguridad que los padres se están encontrando con los menores. Y estoy seguro que podremos liar para esta cadena de artículos a otros buenos amigos como Angelucho.., así como a otros expertos en la materia :P



Y ahora si, nos vamos de vacaciones pero cómo cuando éramos pequeños, con nuestros deberes para el verano y, vosotros, con los vuestros :P  ¡Esperamos vuestras temáticas!

y muy merecidas, por cierto :)

Un saludo y ¡feliz verano!

14 jul 2020

Flu Project se va de vacaciones



¡Buenas a todos! Aunque parecía que el verano se nos resistía, y las vacaciones eran una incertidumbre que quedaba muy lejos tras este periodo convulso que nos ha tocado vivir, y que seguimos y por desgracia, seguiremos viviendo, tras los acontecimientos que se vienen observando en las últimas semanas, vamos a iniciar unas semanas de merecido descanso :) 

Mañana da comienzo la jornada intensiva en nuestro trabajo, y muchos de nuestros compañeros iniciarán sus vacaciones, por lo que desde Flu Project haremos lo propio y realizaremos un parón vacacional para desconectar, recargar las pilas y volver en septiembre con energías renovadas y con mucho más Flu :)

Así que con este post hacemos un punto y seguido, con el que os deseamos que paséis un feliz verano junto a vuestros familiares y amigos. Es posible que durante el verano realicemos alguna publicación puntual para informaros sobre algún evento o noticia de relevancia, pero hasta septiembre no retomaremos nuestro post diario.

¡Un fuerte abrazo y feliz verano!

13 jul 2020

Seguridad empresarial frente al Open Source Intelligence



Buenas a todos, durante el día de hoy tendrá lugar un interesante taller online que impartirá mi compañero Gonzalo sobre OSINT orientado al mundo empresarial. Os dejo todos los detalles a continuación, por si fuese de vuestro interés.


Detalle

En internet hay abundante información disponible de nuestras empresas, ya sea la publicada por la propia organización como la publicada por otro tipo de entidades o por los propios empleados. Esta información, pública y al alcance de cualquiera, puede constituir un riesgo a menudo desconocido y por tanto no evaluado ni tenido en cuenta en los planes de seguridad de la empresa. A lo largo de la ponencia se mostrará a los asistentes el mundo del Open Source Intelligence o Inteligencia de Fuentes Abiertas (OSINT), con diferentes demostraciones en directo en las que analizará el grado de exposición de nuestras empresas.

Se analizarán las diferentes vías de ataque que abre toda la información publicada en Internet, que puede permitir a potenciales atacantes maliciosos lograr de forma sencilla la intrusión en nuestros sistemas y el acceso a información confidencial.

Lugar

Esta jornada será impartida online a través de la plataforma de vídeo conferencia ZOOM.

Público objetivo

Dirigido a Responsables de empresas (dirección, IT, recursos humanos, área jurídica...) y, en general, profesionales de cualquier sector interesados en el ámbito de la seguridad empresarial. 

Ponente

Gonzalo Terciado es Analista de Inteligencia en Osane Consulting-Grupo Zerolynx. Es postgrado en Ciberseguridad por la Universidad Internacional de la Rioja y Grado en Filosofía. Certificado en Ethical Hacking por Ec-Council (CEH). Es ponente habitual en diversos foros y congresos de ciberseguridad, y docente en diversos másteres y títulos propios de universidades y centros de formación, como la Universidad Rey Juan Carlos o Salesianos.

Organiza


10 jul 2020

Liberada nuestra conferencia sobre DevSecOps en RootedCON XI

El congreso de ciberseguridad RootedCON, ha liberado los vídeos de su onceava edición, en la que mis compañeros Jesús Alcalde y Daniel González tuvieron una nueva oportunidad de participar en este importante evento. En esta ocasión, volvieron a repetir en el track de DevOps, donde impartieron la conferencia DevSecOps: into the unknown.

Pese a que el título pudiese llevar a engaño, no fue una conferencia pura de DevSecOps, sino que trató sobre una continuación de la presentada en la décima edición. La conferencia versaba sobre hacking a entornos de DevOps, y durante la misma, se presentaron una serie de herramientas que serán liberadas para que puedan ser usadas en un futuro por la comunidad hacker.

A continuación, os dejamos la conferencia en YouTube para que podáis disfrutarla si no pudisteis asistir:




Un saludo!

9 jul 2020

Covenant: Un Command and Control un tanto vacilón (Parte III)

¡Muy buenas a todos!

Tras un pequeño lapso de tiempo, aquí os traigo la tercera y última parte de esta serie sobre Covenant. ¡Espero que os guste y os sea de utilidad!

Nota: Cabe destacar que cuando empecé esta serie, la última versión de Covenant era la 0.4, pero actualmente, se encuentra en la 0.5. Por lo que he podido investigar, muchos de los errores se siguen reproduciendo en esta nueva versión.

Problema 8: Los HTTP Grunt se mueren tras ejecutar el comando Shellcode con una meterpreter.

Solución: El comando Shellcode, como bien dice su nombre, permite ejecutar shellcodes en memoria. Es más que probable que si la shellcode no ha sido generada correctamente (por ejemplo, si la IP o el puerto de destino son incorrectos), ocasione la pérdida del Grunt desde el que lancemos el comando. ¡Recordad revisar antes de ejecutar!

Fig 1: Imaginaos que os pasa esto a punto de entrar en el DC...

Problema 9: En algunas situaciones, los ficheros subidos a un Listener (Hosted Files) no se pueden descargar.

Fig 2: Sí, aunque está ahí, es imposible acceder desde otro PC por HTTP(s).

Solución: Por motivos que todavía desconozco, cuando esto ocurre, la única manera que he tenido de solucionar el problema es partir desde cero borrando la base de datos y volviendo a levantar el Listener. Molesto, pero efectivo.

Problema 10: Todos los SMB Grunts pasan a estado Lost nada más recibirlos.

Solución: Que no, que no están muertos, que están de parranda. Lanzad varios comandos como cmd o whoami seguidos para verificar si siguen activos. Si tras varios intentos siguen sin responder, entonces sí, certificad su defunción.

Fig 3: Qué travieso, lost, pero activo.

Otra solución (más eficaz) es realizar los cambios indicados por Chopicalqui en este issue para mejorar la estabilidad de estas sesiones. Aunque el Pull Request se hizo sobre la versión 0.4, la 0.5 tampoco lo tiene.

Fig 4: Gracias Chopicalqui.
Por último, no quiero terminar este serie de artículos sin "dar" un gran KUDOS a Ryan y a todos los que están detrás de este proyecto apoyándolo y mejorándolo cada día... Un halo de esperanza para su mantenimiento y continuidad como proyecto de software libre 👏👏.

Happy Juancking!

8 jul 2020

Introducción al Cloud Computing con Azure. Parte 3: Levantando un entorno de cracking con Hashcat


Buenas a todos, en el artículo de hoy sobre nuestra cadena de Azure, vamos a continuar por donde lo dejamos en el anterior post, el cual dedicamos a la creación de máquinas virtuales. Hoy, aprenderemos a montar una máquina concreta con unas características muy especiales, y que nos facilitará enormemente nuestras tareas de pentest. ¡Vamos a ello!

Cuando realizamos un Red Team, un pentest o cualquier otra labor de intrusión dentro de un proceso de hacking ético con un cliente, solemos capturar hashes de diferentes tipos y de diferentes lugares. Responder, la SAM del sistema, lsass, etc. etc. Puede que nos interese conocer las contraseñas protegidas tras estos hashes de Windows capturados, ya que, aunque pudiésemos hacer un Pass the Hash, es posible que esas contraseñas puedan haber sido usadas en otros servicios y aplicaciones (ajenas a Windows). Ya sabéis que el ser humano es poco original... :) Y en estos procesos, el tiempo es oro. Los clientes obviamente no manejan presupuestos infinitos, y los alcances son limitados. Para crackear estos hashes disponemos de diversas utilidades de las que ya os hemos hablado largo y tendido, aunque sea hay alguna que es la preferida de (casi) todo el mundo, es Hashcat.

De Hashcat ya os hemos hablado en muchas ocasiones, así como de Hashtopolis y sus bondades. Por lo que me ahorraré todo esa introducción. Simplemente os explicaré qué máquinas debemos utilizar, y cómo las debemos configurar, para tener Hashcat en la nube ;)

Para el uso de GPU tenemos que optar por la Serie N de Azure. Sobre ello podréis leer en el siguiente enlace:


Citando a Microsoft, <<La serie N es una familia de Azure Virtual Machines con funcionalidad de GPU. Las GPU son perfectas para cargas de trabajo que utilizan una gran cantidad de proceso y gráficos, y ayudan a los clientes a impulsar la innovación con características como visualización remota de alto nivel, aprendizaje exhaustivo y análisis predictivo>>.



Así que iremos a nuestra cuenta de Azure, y seleccionaremos la opción para crear una nueva máquina virtual. Os recomiendo buscar una imagen de "NVIDIA - Ubuntu 18.04". Así mismo, no todas las regiones tienen máquinas con GPU. Una dónde sí he encontrado esta opción es en el centro del Sur de Reino Unido:


A continuación, seleccionaremos en "Tamaño", la máquina deseada. Recordad que tenemos que seleccionar una de la serie N. De lo contrario, no tendremos GPU Nvidia. La mejor oferta calidad/precio que he visto es la "NC6_Promo":


Ahora seleccionaremos el disco. En mi caso, que le he metido un diccionario de cerca de 100GB, he seleccionado un SSD de 128, con el que tengo más que de sobra. 


Y en unos minutos, tendremos nuestro nuevo entorno levantado:




Ahora nos podremos conectar por SSH, con el medio de autenticación seleccionado:


Si hemos seleccionado la máquina correcta, mediante el comando "lspci" podremos comprobar que tenemos la controladora de Nvidia.


Estas es la susodicha joya :)


Ahora tendremos que instalar cuda para Ubuntu. Los drivers los encontraréis en el siguiente portal. Solamente hay que seguir los pasos:


Y si todo ha ido bien, con el comando "nvidia-smi" veremos un pequeño panel de control con detalle sobre nuestra nueva GPU:


Ahora solo nos queda instalar Hashcat, y bajar un diccionario potente. En anteriores posts de Flu Project os hemos hablado de muchos diccionarios, por lo que tampoco me entretendré en este punto:


Con todo montado, solamente quedará subir a la máquina los hashes a crackear, y disparar:


Y en función del nº de hashes y el diccionario seleccionado, tendremos el resultado en cuestión de minutos, horas o días... :P


Saludos!


Autor: Juan Antonio Calles (@jantonioCalles), CEO de Grupo @ZerolynxOficial. CSO de @OsaneConsulting. Doctor en Informática. Cofundador de @fluproject y @X1RedMasSegura. Impulsor del proyecto Open Mobility Security Project (OMSP). Microsoft MVP.

Para consultas a Juan Antonio puedes utilizar su Buzón Público



7 jul 2020

Tesla Model 3 Dashcam Bypass: Si eres una aseguradora, esto te interesa

Buenas a todos, en el artículo de hoy quería hablaros de un problema funcional a nivel de seguridad, que hemos encontrado en el sistema Dashcam del Tesla Model 3, en concreto, el referente a su nueva funcionalidad, integrada en la versión 2020.12.5 del sistema, con la que es posible visualizar desde la propia pantalla los videos grabados por el sistema de seguridad:


El problema lo identificamos hace dos meses (en pleno confinamiento), como podréis ver en las capturas. De hecho, el mismo tiempo precisamente que llevamos intentando mover el tema con Tesla para proponerles recomendaciones de mejora en el sistema.

El programa de actualizaciones de Tesla evoluciona mucho, y desde entonces, el propio Dashcam ha cambiado. De hecho, ahora permite formatear pendrives desde el propio coche. Pero de esto os hablaremos en posteriores artículos.

Si analizamos el pendrive o disco duro usado en el Dashcam, según lo que utilicemos, donde se almacenan estas grabaciones, veremos un árbol de carpetas como el siguiente:


Y dentro de la carpeta de cada grabación, veremos el siguiente contenido:


De arriba hacia abajo, nos encontraremos con los videos en formato mp4 de la grabación desde los 4 ángulos del coche, un archivo json con los datos principales de la grabación, y una miniatura, que se corresponde con la previsualización del menú que tenemos en la pantalla del coche. Ni más, ni menos. Cómo os podréis imaginar, si os cuento todo esto es porque vemos un problema funcional importante, y es que estos contenidos no se encuentran firmados, por lo que son totalmente manipulables.

Comenzando por los thumbnails, que podremos alterar a nuestro gusto, como en el siguiente en el que hemos incluído el término "HACKED":



Continuando por el lugar de la grabación o la fecha de la captura:





O incluso, alterando los propios videos mp4:



¿Qué problema tiene todo esto? Pues además de las features que seguro que se os están ocurriendo para gastar bromas o ver películas en la pantalla del coche (aunque sin sonido), el objetivo del Dashcam es el de mostrarnos que hemos tenido un percance como un accidente, un robo o un acto de vandalismo entre otros, en formato de video, el cual podríamos utilizar para poner una denuncia y que los seguros respondan, de acuerdo a las condiciones de nuestro contrato. Ahora bien, si estos datos son manipulables, ¿qué garantía tenemos? ¿Podríamos utilizar un pendrive de un coche que haya tenido un golpe, por ejemplo, en el parachoques trasero, y "llevarnoslo" a otro coche, que haya tenido un golpe similar, pero que tenga el seguro a terceros y que, por tanto, no tendría derecho a una reparación gratuita? Pues la respuesta es SÍ. Dashcam actualmente no ofrece garantía de que las grabaciones y sus datos sean verídicos, porque no se encuentran firmados. Es más, como podéis ver arriba, he simulado una grabación en mitad del Océano Ártico, en una ubicación denominada como Mordor, en el año 2000, 20 años antes de que existiese el coche.



Dado el problema funcional, lo incluiremos como prueba en Open Mobility Security Project (OMSP), para que pueda estandarizarse en los itinerarios de pentest que se realicen siguiendo este modelo de evaluación.

Saludos!

Autor: Juan Antonio Calles (@jantonioCalles), CEO de Grupo @ZerolynxOficial. CSO de @OsaneConsulting. Doctor en Informática. Cofundador de @fluproject y @X1RedMasSegura. Impulsor del proyecto Open Mobility Security Project (OMSP). Microsoft MVP.

Para consultas a Juan Antonio puedes utilizar su Buzón Público



6 jul 2020

Tus contraseñas (aún más) seguras



¡Muy buenas! En este post comentaremos acerca de una característica interesante que poseen algunos gestores de contraseñas, muchos de ellos mencionados en varias oportunidades en nuestro blog. Para utilizar como ejemplo, nos centraremos en KeePassXC y en particular nos referimos a la posibilidad de doble factor que nos brinda la herramienta para acceder y descifrar la base de datos de secretos no sólo a través de una contraseña maestra, sino también agregando un archivo de descifrado llamado Key File. Es decir, que para poder acceder a nuestros datos protegidos será necesario presentar ambos recursos. Incluso se podría realizar dicho proceso únicamente con Key File, aunque esta es una práctica no recomendada.

En cuanto al procedimiento para activar el desbloqueo utilizando contraseña + Key File, es posible llevarlo a cabo tanto para una base de datos ya creada, como para una nueva.

En el caso de que ya contemos con una base de datos creada, basta con acceder a las opciones de la misma y, bajo la opción Key File, podremos generar un nuevo archivo con datos aleatorios o elegir uno existente. Podemos elegir, por ejemplo, una imagen o un archivo de texto.


Generamos un Key File o elegimos uno existente

Este método de doble factor, basado en algo que sabemos (la contraseña maestra) y algo que tenemos (el Key File), nos aporta una capa de seguridad extra y es muy útil en el caso de que guardemos copias de respaldo de nuestra base de datos de contraseñas (archivo con extensión .kdbx) en la nube, y el Key File en otro servicio cloud o en algún dispositivo externo, por ejemplo.


Accediendo con Key File

Finalmente, cabe aclarar que el archivo elegido como Key File debe mantenerse intacto sin modificaciones para no comprometer el acceso a nuestros datos. También es posible cambiar de archivo si así lo deseamos, para ello tenemos que repetir el proceso anteriormente explicado. Además, es muy recomendable crear copias de seguridad del Key File elegido, ya que en caso de perderlo, no podremos acceder a nuestras contraseñas guardadas, al igual que pasaría si perdemos nuestra contraseña maestra.

¿Qué les parece esta característica que nos ofrecen los gestores de contraseñas? 

Saludos!

3 jul 2020

Introducción al Cloud Computing con Azure. Parte 2: Levantando máquinas virtuales


Buenas a todos, en el post de hoy vamos a continuar con la cadena de Azure, aprendiendo a levantar nuestra primera máquina virtual en la nube.

Lo primero que haremos será acceder al menú de máquinas virtuales, el cual encontraremos en el menú inicial de la plataforma:


Una vez dentro, pulsaremos sobre el botón agregar, o sobre "crear maquina virtual":


A continuación comenzaremos la configuración de la máquina. Lo primero que haremos será seleccionar la región donde queremos levantar nuestra VM y el sistema operativo:



A continuación seleccionaremos las CPUs y memoria del entorno:


Posteriormente indicaremos el medio de autenticación:


Y seleccionaremos el tipo de disco. Dispondremos de HDD estándar y de SSD estándar y premium (con mejor rendimiento y recomendado para entornos con muchas operaciones de entrada/salida de datos):



El siguiente paso será seleccionar los puertos que abriremos en el firewall. Por defecto SSH para administración:


Y si todo ha ido bien, comenzará la generación de la máquina y nos indicará los costes correspondientes:




Tras crearse la máquina, podremos acceder desde el panel principal:


La máquina podremos arrancarla y pararla a nuestro criterio, e incluso podremos "salvar" la dirección IP asignada, aún teniéndola parada:



Así mismo, podremos gestionar la seguridad de la red, y agregar o eliminar reglas a nuestro criterio. En el caso de entornos críticos, sería recomendable limitar el acceso a la máquina únicamente desde vuestra dirección IP, y a los puertos mínimos necesarios:


En el menú "Conectar" podremos encontrar las diferentes posibilidades con las que acceder a la máquina. 



En nuestro caso, nos conectaremos por SSH a través de PuTTY:


Y si todo ha ido bien, nos conectaremos a nuestra nueva máquina virtual:


Como veis, en menos de 5 minutos tendremos una máquina levantada en Internet y lista para publicar los servicios que precisemos :)

¡Nos vemos en el próximo post sobre Azure!


Autor: Juan Antonio Calles (@jantonioCalles), CEO de Grupo @ZerolynxOficial. CSO de @OsaneConsulting. Doctor en Informática. Cofundador de @fluproject y @X1RedMasSegura. Impulsor del proyecto Open Mobility Security Project (OMSP). Microsoft MVP.

Para consultas a Juan Antonio puedes utilizar su Buzón Público