29 dic 2020

¡Hoy @FluProject hace 10 años!

Por el 29 dic 2020 con 0 comentarios

Buenas a todos, ¡hoy hacemos 10 años! Ahí es nada... ¿verdad? 10 años fantásticos tratando de acompañaros cada día durante el desayuno, con noticias y artículos de ciberseguridad para todos los niveles.


Desde aquel 29 de diciembre de 2010 que lanzamos el sitio web www.flu-project.com han ocurrido muchas cosas. Más de 2.200 artículos, 4,5 millones de visitas en el blog (desde que migramos a blogger) y más de 8 millones desde el inicio del proyecto, con picos de 20.000 visitas en un único día, eventos innumerables, herramientas con millones de descargas como Liberad a Wifi (que paramos de contar en más de 2 millones...), Flunym0us, Anubis o el propio troyano Flu, en su versión Open Source,


Pero Flu Project no son solo números, Flu es una gran familia. En este blog se iniciaron y han compartido su conocimiento muchos referentes a día de hoy como Hecky, Chema García, Dan1t0, Nicomda, Un tal Anonymous en el PC (Germán), Marc Rivero... entrevistamos a decenas de expertos como David Kennedy, creador de SET (Social Engineering Toolkit) y tuvimos colaboraciones de numerosos cracks. A lo largo de los años y tras 2 migraciones, hemos perdido algunas imágenes, pero os animo a visitar posts de hace 8 o 9 años y descubriréis verdaderas joyas de la historia de la ciberseguridad en España.

¡No queremos ponernos nostálgicos, ni enrollarnos mucho! pero han sido 10 años que a Pablo y a mí, personalmente, y a muchos de nuestros colaboradores, nos han cambiado la vida, y es que Flu, en parte, nos ha dado una profesión y nos ha permitido conocer a muchos de los que hoy son grandes amigos con los que compartimos cada día nuestra vida.

Un abrazo muy fuerte de todo el equipo que hoy está detrás del Proyecto Flu, y no dejéis de seguirnos, que este año os tenemos preparadas muchas sorpresas para conmemorar el décimo aniversario que hoy comenzamos.

¡A por otros 10 años!

Leer más
      editar

23 dic 2020

Lo mejor del año 2020, por Juan Antonio Calles (@jantonioCalles)

Por el 23 dic 2020 con 0 comentarios


Muy buenas a todos, 2020 toca a su fin, un año raro donde los haya, con sus cosas buenas, y sus cosas no tan buenas. No quiero reiterarme hablando de la pandemia del Covid, de sus repercusiones negativas para la economía, de los que ya no están y de lo que nos queda por pelear, porque prácticamente la mayoría de la ciudadanía somos conscientes, en mayor o menor medida, de la realidad que estamos viviendo y que vamos a vivir a corto-medio plazo. Es fundamental que la resiliencia y las ganas de salir adelante permeen en la sociedad, y para ello una buena opción es reflexionar sobre lo bueno que nos ha traído este 2020, y es con lo que nos deberíamos de quedar, además de aprender de nuestros errores para que no vuelvan a repetirse en el futuro. Mejora continua, como solemos decir en el sector. 

Como bien sabéis, con ese objetivo de mejora continua precisamente, desde 2013 Pablo y yo tratamos de reflexionar sobre nuestra evolución año a año, y de cómo hemos ido cambiando, desde aquellos jóvenes apasionados de la seguridad que abrieron este blog hace "casi" 10 años, a lo que somos hoy en día:

Año tras año os compartimos nuestros éxitos profesionales, lo que vamos aprendiendo, los eventos en los que hemos participado, las publicaciones que hemos ido haciendo, y un largo etc. Pequeñas batallas, para muchos insignificantes, para otros un mundo, que nos han ido enriqueciendo día a día. Este año querría abordar este post de una forma diferente, dado que mi vida en nada se parece a la de mi yo de hace un año, y mucho menos a la de mi yo de 2010. Hoy, mi día a día se basa en gestionar un grupo de empresas, en analizar financieramente todas ellas mes a mes, en estudiar nuevos mercados, en investigar posibles nuevas entidades o productos en los que invertir y en tomar decisiones de cierto calado que afectan a bastantes personas..., como veis, ¡poco tiempo me queda para investigar en ciberseguridad!

Hace ya 7 años que monté mi primera empresa, y desde entonces he tenido 4 diferentes, todas de bastante éxito y rentables desde el primer mes. Hoy en día coordino 3 de ellas, con un maravilloso equipo de casi 30 personas, que año tras año no para de crecer. De hecho, tenemos 2 vacantes abiertas actualmente y otra que abriremos en breve, para que estéis atentos por si os apetece uniros al equipo. Ellos son precisamente los que todos los días investigan, descubren nuevas vulnerabilidades, se recorren todos los eventos, escriben artículos geniales y hacen todo lo que hacía ese Juan Antonio de hace unos años, y no puedo estar más orgulloso de lo grandes que son todos ellos, tanto a nivel profesional, como personal. 

Aunque tengo poco tiempo para seguir investigando y trasteando, todavía trato de seguir vinculado a la seguridad y en concreto a mis áreas preferidas, la Inteligencia y el Forense, y de hecho, además de mi labor como CEO del Grupo Zerolynx, sigo dirigiendo el departamento interno de Inteligencia y Forense, liderando todas las investigaciones, ratificando informes en los juzgados y ayudando a coordinar a un equipo muy diverso de analistas, forenses, directores de seguridad y detectives, a los que trato de ayudar en todo lo posible para llevar a buen puerto cada caso que recibimos.

Mi día a día en este 2020 se ha centrado por y para el Grupo Zerolynx, mimando cada detalle para tratar de ser disruptivos en un mercado cada vez más colmado, en el que lo verdaderamente diferencial son las personas. Aún así, tuve algo de tiempo para participar en algunos eventos públicos, como la ShellCON, donde presenté junto a mi compañero Jesús una segunda parte de nuestra conferencia sobre Quic, algunas conferencias sobre emprendimiento que tuve el placer de impartir en varias universidades como la UEM o la UPM, varios bootcamps sobre análisis forense, como el de Zerolynx o el de GeeksHub, y algún que otro evento destacado como nuestra primera FluCON, la C0r0n4CON o el taller online que impartí en C1b3rwall, La verdad que, a pesar de que este año no he tenido apenas tiempo para investigar e impartir conferencias y cursos, he vuelto a superar las 30 intervenciones tanto a nivel público, como privado, y es que muchas veces cuando alguien te llama para ayudarles en un evento, es difícil decirles que no.


Este año lanzamos también el proyecto Open Mobility Security Project, un proyecto abierto dedicado a estandarizar un marco de controles técnicos con el objetivo de evaluar la ciberseguridad en todo tipo de vehículos. Llevamos unos meses sin actualizar los controles, pero eso no quiere decir que el proyecto esté paralizado, sino todo lo contrario. Desde la empresa estamos invirtiendo mucho dinero en la ciberseguridad del vehículo conectado, y estamos auditando vehículos muy diversos en estos momentos, y precisamente por ello, no queremos aventurarnos en liberar controles precipitadamente, estamos preparando algo realmente valioso para toda la comunidad y lo lanzaremos a su debido tiempo, cuando su madurez sea la adecuada.


También, este año me hicieron varias entrevistas, pero hay una que me hizo especial ilusión, la de Revista SIC del nº de septiembre que ocupó sus páginas centrales. Pepe y Luis son el alma máter de la revista más popular del sector y dos personas que admiro muchísimo. Llevan 30 años informando de todas las novedades en Ciberseguridad, ahí es nada, y con esta entrevista, dirigida por otro gran profesional como es José Manuel Vera, quisieron reconocer el trabajo de todo el equipo de Zerolynx y su importante peso en el panorama nacional.


De este año también destacaría las intervenciones en el documental de C. Otto de El Enemigo Anónimo, o el reconocimiento que me hizo Microsoft como MVP en Azure, una tecnología con la que trabajamos mucho en Zerolynx y una a la que he dedicado muchas horas este año, tanto por los temas evidentemente profesionales, como por hobby.


Tanto es así, que tenéis una interesante cadena mía en Flu Project que os recomiendo leer si queréis comenzar a formaros Cloud y en Azure:


También este año reconocieron la especialización del Laboratorio Forense de Zerolynx, situándolo en el Top 10 de Europa desde la Enterprise Security Magazine. Un equipo que comienza a ser reconocido por liderar varios casos que han tenido una destacada repercusión mediática.


No quiero extenderme mucho más, ha sido un gran año a nivel profesional y personal, y en el que todos en general hemos tenido que enfrentarnos a las dificultadas del día a día, para nada desdeñables, en un entorno nuevo, en ocasiones hostil, en el que hemos tenido que aprender a "digitalizar" situaciones cotidianas y en un tiempo récord, que hace un año considerábamos imposibles. Brindemos por lo bueno que nos haya traído a cada uno este 2020, y luchemos por seguir adelante para que este 2021 no frene todos nuestros sueños.

¡Un fuerte abrazo a todos y que paséis unas Felices Fiestas!
Leer más
      editar

21 dic 2020

Año 2020. My Backup. Lo mejor del año. @pablogonzalezpe

Por el 21 dic 2020 con 3 comentarios

El año 2020 nos ha cambiado la vida a todos. Nos ha mostrado algo que pensábamos que era imposible y es cómo algo tan pequeño puede cambiar el mundo, cambiar nuestra rutinas, nuestras dinámicas y parar el mundo. Algo a lo que al principio no hicimos demasiado caso paro nuestras vidas entrando en el mes de marzo. La vida no es cómo hace un año cuando Juan Antonio y yo mostrábamos nuestros resúmenes del año. Ha sido un año intenso, con mucho dolor para muchos, hemos visto cómo mucha gente se iba antes de tiempo debido a lo que hemos pasado. Hemos visto cómo amigos han sufrido, cómo familiares han sufrido, independientemente de las edades. 

Sea como sea, al menos yo, he aprendido muchas cosas. He valorado la fortaleza del ser humano al ser capaz de luchar contra un virus que no era una simple gripe. He visto como el ser humano ha sido capaz de amoldarse, continuar con la vida, porque una cosa me ha quedado clara y es que la vida no para. Esto no es un año perdido. Hemos podido hacer muchas cosas. Teníamos una gran nube que anunciaba una gran tormenta, pero desde tiempos incontables el ser humano ha sabido luchar, adaptarse a las circunstancias y ser resiliente. Sí, el ser humano es resiliente. 

Decidí afrontar la vida de otra forma desde marzo. A nivel personal, que nada tiene que ver con lo profesional, tenía unos objetivos. Decidí continuar y pelear por ellos. Sin escuchar a los que dicen "este es un año perdido". Cuando escuches eso, revisa tu fecha de nacimiento del DNI y revisa la fecha en la que te encuentras. No puedes perder un año de tu vida. Debemos seguir adelante, haciendo todo lo que podamos en las situaciones y escenarios en los que nos encontramos. La vida sigue y tus sueños y objetivos siguen estando igual de lejos. Lúchalos. Persíguelos. A veces nos tocará luchar contra los elementos, pero si nos sentamos a esperar ocurrirán dos cosas: perderé tiempo, es decir, la probabilidad de conseguir dicho objetivo y estaré seguro de que no conseguiré mi sueño, ya que si no hay esfuerzo no hay éxito. Nadie nos garantiza el éxito, pero lo que sí nos garantiza la vida y el paso del tiempo es que si no lo lo intentamos no lo conseguiremos. 

Este año que cerramos ha estado lleno de momentos complejos, duros, impensables hace solo 365 días. Nos ha dejado muchos gestos positivos de una sociedad que nos habíamos acostumbrado a otra vida. Para bien y para mal hemos sacado valores y en algunos casos los hemos echado de menos, pero al final la suma de todos es importante para salir adelante. Todos hemos podido aportar nuestro granito de arena. Poder aportar en mayor o menor medida es importante para nuestra sociedad. Ha sido duro ver a algunos que se negaban a aportar o que reflejaban falta de valores. Es duro. Seguramente todos hemos fallado en algún momento durante estos meses, a veces sin saber, sin ser conscientes, creyendo en la teoría del "si no pasa nada", pero por suerte, la mayoría aportamos. 

Seguramente estamos ante el principio del fin. Es lo que deseamos todos. No es mi intención mostraros mucho más sobre mis pensamientos sobre el tema que ha mandado nuestra vida en estos casi 10 meses, pero sea como sea, con la responsabilidad, la empatía, que es lo un componente vital para ser un ser humano, y el respeto saldremos reforzados. ¿Tú cómo quieres salir de ésta? 

Sin más, me voy a la parte de mi resumen anual sobre lo que he hecho en este último año. Un año con dos meses y medio (prácticamente) en un modo "normal" y el resto del tiempo en modo "mequedoencasa". Antes de empezar con el repaso anual, os dejo enlaces a los antiguos ejercicios. Y es que escribir es muy sano. Volcar pensamientos, volcar ideas, volcar sensaciones a una hoja, a un bloc de notas. Por ello, tanto Juan Antonio y yo hacemos esto todos los años desde 2013. Se dice pronto. Principalmente, utilizo estos enlaces para ver mi evolución. Una evolución como persona, con mis situaciones y escenarios que han ido cambiando en los últimos años. Creo que la madurez me ha llegado en muchos aspectos de la vida. Una mini-transformación que puedo ver reflejado en estos ejercicios. Eso sí, siempre aprendiendo, siempre con ganas de hacer cosas, de luchar, de soñar... uno no puede dejar de tener sueños e ilusiones. Y es que la vida cambia mucho en 7 años. Y, simplemente, estoy orgulloso. Contento y feliz. Al final, estar feliz y en paz es algo que buscamos como seres humanos. La gracia está en que para cada uno, eso, son cosas diferentes. Pero es que hay más, a este concepto, también lo podemos identificar por fases de la vida. Y es que no todos estamos siempre en el mismo momento, ni en la misma fase, ni en el mismo escenario. Nuestra felicidad puede variar en función de la fase y momento en el que nos encontremos. Persíguelo.

En enero comenzamos el año con la publicación de un nuevo libro en 0xword. El libro denominado "Empire: Hacking avanzado en el Red Team" fue escrito junto a Sebastián Castro, amigo de Colombia autor del RID Hijacking


El año continúo con las clases en la UEM. Era mi sexta promoción, siempre con ganas e ilusión. La docencia es una de mis pasiones y espero poder estar durante muchos años al pie del cañón. El 22 de enero  se celebró una nueva edición de Ciberseg en la UAH. Llevaba unos años sin estar allí y pude volver a ver a amigos como Manuel Sánchez. En esta charla hablé de la evolución de la ingeniería social y cómo la IA impactaba de lleno en ello, haciéndonos muy difícil el diferenciar lo real de lo que no lo es. 

El fin de semana del 24 de enero estuve en Sh3llcon. Era la sexta edición. Allí hice de todo. Taller de auditoría a BLE, charla sobre deepfakes y preparé un reto del CTF basado en un juego con BLE y una Micro:Bit. He tenido el honor de estar en las seis ediciones de Sh3llcon. Y como bien saben ellos, siempre que quieran estaré. Primero porque es mi tierra, igual que lo es Móstoles. Segundo porque es un placer disfrutar de una de las ciudades más bonitas de España. 

En febrero seguimos con las universidades, clases presenciales, clases online, alguna masterclass y llegó la MorterueloCON. El 29 de febrero estuve dando un taller en MorterueloCON en Cuenca. El taller fue sobre pivoting y las técnicas que podemos utilizar para ir dando saltos. Fue un placer ver a viejos amigos allí como, por ejemplo, a Rafa Otal, Eduardo Sánchez, entre otros. 

Entramos en marzo y como sabéis es la semana de Rooted CON. Como te vamos a echar de menos en marzo de 2021 Rooted. En esta ocasión impartí un par de talleres, el primero sobre Powershell Offensive, el cual celebraba su segunda edición y otro sobre Ethical Hacking. Era mi octavo año impartiendo talleres en Rooted CON, desde 2013. Siempre ha sido un honor y un placer estar. Siempre que ellos quieran, seguiré estando. Además, el sábado 7 a las 10.00 impartí la charla "Hackeando el mundo exterior a través de BLE". Por sexta vez tuve el honor de subirme a ese escenario (realmente no, porque en la historia de Rooted se ha ido celebrando en varios sitios y estuve en ellos) y poder compartir con la gente. La charla la di junto a mi compañero y amigo Álvaro Nuñez. Durante la RootedCON hice una grabación para el programa 'Viva la Vida' de Telecinco. El tema era el malware en los dispositivos móviles y cómo los malos pueden espiarnos.


En RootedCON tuve el honor de poder ver la nueva edición del libro de Metasploit para pentesters. Una edición Gold por parte de la editorial, ya que es la V edición del libro. Se dice pronto ver el número de unidades vendidas, con más de 7000. Es un orgullo, un honor y todos los adjetivos que podáis imaginar haber escrito este libro hace tantos años, que lo hayamos ido mejorando con cada edición y que hoy día sea una edición oro. Gracias 0xword. 
Justo después de RootedCON nuestro mundo comenzó a cambiar. Tuvimos que adaptarnos a una nueva forma de trabajar, en muchos casos, incluso, a una nueva forma de relacionarnos. Estamos en abril. Se nos canceló la ViCON, una CON que se celebra en Vigo y que si todo va bien en 2021 estaremos. No pudimos estar, pero estaremos. ¿Qué puedo decir de Abril? Seguimos con las clases y con la sesión de orientación laboral que desde hace años me toca dar en un Máster. Una sesión diferente, no técnica, un reto para mí. Poder dar mi visión del mercado laboral basándome en la experiencia y en lo que veo, lo que conozco y lo que intuyo. Todo para poder ayudar a los estudiantes.

En abril hicimos la primera FluCON. La celebramos invitando a un gran elenco de profesionales y con el objetivo de que el estar en casa no fuera "tan malo". Dar conocimiento y entretener era el objetivo de la CON y fue una grata sorpresa ver cómo la gente respondió. Aquí os dejo la charla que preparé para la FluCON. Además, tuve la suerte y el honor de poder entrevistar a un buen amigo como Jaime Restrepo @dragonjar. 


Unos días después se celebró la primera edición de C0r0n4CON. Una CON benéfica que tenía como objetivo recaudar dinero para la Cruz Roja. Una gran iniciativa que recaudó casi 40.000 € en su primera edición. 


Llegamos a mayo. Las clases continuaron en el modo online. Tuve una charla en Escuela 42, la cual me parece una "pasada", por su innovadora forma de aprendizaje. Además, comenzamos una serie de encuentros virtuales de autores de 0xword. Fue muy agradable comentar y compartir con otros compañeros, otros autores y cada uno con preocupaciones y puntos de vista que, creo, enriquecen y permiten la difusión de experiencias, opiniones, conocimiento, etcétera. Me quedo con lo de la sociedad de la inmediatez, un buen término que acuña nuestros tiempos. Nosotros apoyamos la cultura del esfuerzo y no tanto la de la inmediatez. Todo requiere esfuerzo y la ciberseguridad más. 





Llegamos a Junio. Empezamos el mes con hack2covid en Chile, con los amigos de la 8dot8. Antes Gabriel Bergel me hizo una entrevista en RadioDemente Chile. En la primera edición de hack2covid impartí la charla "Los niños y los pentesters nunca mienten". Días después tuve la suerte de poder dar una nueva charla en escuela 42, la verdad que siempre es agradable pasar un rato con los chicos/as y ver las ganas que tienen por aprender y evolucionar. 


Por aquella temporada los chicos de infocysec me entrevistaron. Este sitio web de Ecuador es recomendable para echar un ojo y ver el proyecto que están llevando a cabo. La difusión es importante en cualquier lugar y ellos me recuerdan a cuando Flu Project echaba a andar hace ya 10 años. Un buen rato entre amigos con Christian y Miguel. Os dejo por aquí la entrevista. Además, estuve invitado por la Comunidad DOJO de Panamá para impartir una charla sobre ingeniería social. Gracias a todo el equipo y, en especial a Eduardo Snape, por todo el cariño. 


En julio me dieron un gran noticia, la más importante de mi vida. También tuvimos defensas de TFM, ya que es la época en la que muchos alumnos presentan sus trabajos de cara a tener "libre" el verano y no tener que emplearlo en su TFM. Estuve preparando junto a mi compañero y buen amigo Fran Ramírez nuestra participación en Black Hat USA 2020 y en DefCon Edición 28. Por primera vez estaríamos en estos dos eventos. Habíamos estado en 3 BlackHat, pero siempre en la Europe. Es un orgullo poder haber estado en 4 ocasiones en un congreso como BlackHat, es algo que no es fácil, porque allí podemos ver a lo mejor de cada rincón del mundo. Grandes investigaciones, grandes investigadores y para nosotros estar allí es, simplemente, un orgullo. Con perspectiva valorar estos 4 años y el haber conseguido estar allí. Un trabajo de todos. Con pasión se alcanzan las metas. 

También me renovaron en julio el MVP de Microsoft. Desde 2017 tengo el honor de ser reconocido por Microsoft como una persona que aporta a la comunidad en el ámbito de la seguridad. Es mi 4 MVP y hasta julio de 2021, al menos, lo seré. Espero ser candidato al quinto MVP de Microsoft, lo cual sería un hito para mí, ya que no es fácil. Por otro lado, he de decir que mi amigo Juan Antonio Calles, fue nominado para MVP y ha sido su primer año como tal. 

Llegó agosto. El día 5 de agosto estuvimos en BlackHat USA Arsenal mostrando al mundo ATTPwn. Una gran experiencia y, ¿Por qué no estar una quinta vez en uno de los eventos más importantes en ciberseguridad del mundo? Trabajaremos en IdeasLocas para ello. Por otro lado, el día 7 de agosto llegó el momento de DefCon y Red Team Village. Esta charla estuvo más enfocada a mostrar la herramienta y su parte más colaborativa del proyecto. 


El día 12 de agosto la gente de 8dot8 celebrara su ya famosa 8dot8 Las Vegas. Todos los hispano hablantes que presenten trabajo en BlackHat USA o en DefCon tienen un hueco en esta CON. En esta CON especial, que generalmente se celebra en una suite de uno de los hoteles más "potentes" de Las Vegas, se presentan los trabajos en nuestro idioma. 


Durante este mes también participé en la grabación de "Dame dos minutos". Hablé sobre la sociedad actual y tecnología junto a Beatriz Cerrolaza. Os dejo aquí mis dos minutos sobre la sociedad actual y la tecnología.


Y el resto de agosto... descanso! Hay que parar en ciertos momentos del año, para coger ideas, para reflexionar, para descansar física y mentalmente. Este año no se podía viajar con facilidad, ni era recomendable hacerlo, ya que nos tocaba esperar una solución a la pandemia que tenemos encima. Tocó desconectar en casa. 

Y llegó septiembre. Cuando llega septiembre es sinónimo de eventos, de muchos eventos en muchas partes del mundo. De mucho trabajo, por eso es recomendable descansar en agosto, todo lo que se pueda. Deciros que eché mucho de menos poder estar en Rooted CON Valencia. Espero que el próximo septiembre podamos estar allí. Con nuestro lab compartiendo. 
Este septiembre llegaba con una charla en DragonJAR CON. En el año 2018 estuve por primera vez en DragonJAR CON, físicamente en Colombia y es una pena no poder haber estado este año allí compartiendo con la gente. 


El 7 de septiembre estuve en el programa de dos amigos. El programa de radio es After Work y podemos escuchar a Pablo San Emeterio y Mónica Valle. Allí hablamos sobre la experiencia que era la BlackHat y la DefCon para los españoles. El programa se puede escuchar en este enlace

El mes de septiembre iba a ser largo en lo que a trabajo se refiere. Un viernes estuve con el amigo S4vitar. Una persona que está modificando algunas cosas en la difusión del conocimiento. En mi opinión, S4vitar ha aportado un aire fresco, juvenil, desenfadado, que cualquier sector necesita. Quizá necesitemos más S4vitars, gente con mucha ilusión, que comparte, que ayuda y que solo busca la propia diversión. Tiene pasión por lo que hace y fue un placer compartir un rato con él. Os dejo la entrevista por aquí. Por cierto, seguramente si salen TOP infuencers, que de vez en cuando salen... S4vitar sería de mis favoritos ahora mismo por cómo influye y aporta ;)


La semana del 21 de septiembre estuve invitado por Yolanda Corral a su 'Palabra de Hacker'. Un espacio de difusión y compartición de conocimientos para todos los públicos. Fue un placer volver a estar con Yolanda, ya que llevábamos algún tiempo sin participar con ella. El tema de esta ocasión fue Zerologon y, sin duda, una de las vulnerabilidades del año.

El 24 de septiembre estuve en EkoParty. Cuando Diego Bruno y Javier Antúnez me comunicaron que volvería a la EkoParty fue una gran alegría. Es una de las CONs que más he disfrutado. Estuve en 2018 presentando un par de temas y he podido volver en 2020. En esta ocasión online. Si tenéis la oportunidad de ir a Buenos Aires a una EkoParty hacedlo. Sin dudarlo. En esta ocasión, impartir un taller sobre ATTPwn orientado al Red Team. 


El 29 de septiembre se celebró la segunda edición de la hack2covid. En esta ocasión hablé sobre el UAC y cómo buscar debilidades para un bypass. Revisando el año, veo que el mes de septiembre fue intenso en muchos sentidos. Al final te queda la satisfacción de haber disfrutado con lo que has trabajado. 

Llegamos a octubre. Volví a una 8dot8 para dar la Keynote. En este caso a la 8dot8 Centro, celebrada en Chile. Fue interesante compartir la previa de la Keynote con Gabriel Bergel y Gianella Marengo. Os dejo el momento y la charla.


El 9 de octubre estuve junto a mi compañero Fran Ramirez hablando en Hacktivity Hungary. Es la segunda vez que el equipo de IdeasLocas estaba en esta CON. El año pasado fue presencialmente, pero en esta ocasión tuvo que ser online. Un día después, salto virtual a LATAM. En Paraguay se celebraba HackDay Paraguay. Allí estuve aportando mi granito de arena. Gracias Victor por tus palabras hacia mí. 


El 17 de octubre estuve en Tizona CON. Una CON que se celebra en Burgos y que fue un placer estar allí compartiendo. Hay que decir que espero que el próximo año pueda ser presencial. Burgos es mucho Burgos. Quedamos para el 2021 y en presencial. Y la semana del 19 comenzó la maratón. Octubre traía muchas CONs y se vio reflejado en esa semana. 23, 24 y 25 de octubre tocaron CON. Hay que decir que gracias al formato Online se pudo estar en todos los lados, ya que si no hubiera sido inviable. Empezamos el 23 de octubre con Open Hacking Guatemala. El año pasado no pude estar con los compañeros de Open Hacking por motivos profesionales, pero en esta ocasión no quería faltar. El 24 de octubre estuve, por fin, en Bit Up Alicante. Llevaba mucho tiempo queriendo estar y por varios motivos no se pudo dar. Al final lo logré. Y para finalizar un puente de CONs estuvimos en Amalia CON en Panamá, de nuevo con el empuje de la Comunidad DOJO. Antes de pasar de mes, también he de decir que por sexto año soy profesor en la URJC, la cual es mi casa, porque es dónde crecí, me formé, conocí, valoré, etc, etc. La asignatura de seguridad avanzada del Máster de Ingeniería Informática es especial para mí, por el reto que supone. Espero que sigamos estando mucho más.

Llegamos a noviembre. Aunque no nombre en todos los meses las clases, ellas han estado ahí, conmigo, en su modalidad online. El 7 de noviembre estuve en HoneyCON. Otra edición y van unas cuantas. Para mí siempre es un honor estar con los compañeros de HoneyCON aportando. El año pasado me dieron una placa que guardo con mucho cariño y las palabras de Raúl Renales hacía mi son siempre muy especiales. Gracias por vuestras palabras, las cuales ayudan a seguir llevando mi granito de arena a cualquier lugar del mundo. El sábado 7 estuve con una charla y el domingo 8, junto a Álvaro Nuñez con un taller. Os dejo por aquí el taller.


El 28 de noviembre estuve en otra CON internacional, en esta ocasión en la NoHat de Bérgamo. Hasta el último momento estuvieron la posibilidad de que los speakers fueran presencialmente, pero no pudo ser. Esperemos que en otra ocasión podamos estar con ellos. La charla era una evolución de un trabajo del año pasado sobre las GANS y los autoencoders, pero mostrando medidas defensivas en las que se ha trabajado en IdeasLocas como parte de innovación. Os dejo la charla por aquí.


Llegamos al último mes del año, ese que aún no ha terminado. Un mes que por una razón u otra, tengo la suerte de disponer con un gran número de vacaciones. Pensar, reflexionar, descansar, coger fuerzas para un 2021 que será exigente. Sin duda es la misión de las vacaciones, pero también disfrutar, porque cada momento es único en la vida. Aunque pensemos que repetimos momentos, cada momento es único y no volverá. Hacia mediados de diciembre estuve colaborando en la segunda edición de C0r0n4 CON, con el mismo objetivo recaudar fondos para la Cruz Roja en diferentes países. Ahí estuve, aportando mi granito de arena. 

Puedo decir eso de... "y eso es todo amigos", pero antes de hacerlo quiero volver a una promesa que hice y que en diciembre toca cumplir. En el artículo "Cuando 24 horas al día no son suficientes" comenté que donaría el dinero que obtuviera ese año por responder peticiones, preguntas, a través de MyPublicInbox. Ahora, a final de año, toca hacerlo. Más de 20 mensajes recibidos este año. Contento por la gente que piensa que puedo ayudarles. También quiero recordar a la persona que pensó en mí para publicar una página en Wikipedia sobre mí, aunque esto no es de este año, pero agradecer a todos los que han aportado/modificado algo de ella. Es algo que nunca pensé tener. Así que a todos esos anónimos: Gracias.


Ahora sí, toca despedir el año. Un año extraño para muchos. Un año duro, muy duro para la gran mayoría. Un año en el que tendremos que recordar a mucha gente. Un año que nos ha cambiado de una forma u otra. Un año que no olvidaremos y que, espero, nos haya hecho mejores personas. Que nos haya mostrado lo bueno que teníamos y nos proporcione las herramientas para hacer del futuro algo mejor. Yo seguiré, a través de la tecnología, aportando mi granito de arena. Con las mismas ganas que siempre. Con las ganas de un chaval que comienza, como las palabras que me dedicaba mi amigo Raúl Renales en un periódico. 


Os deseo que paséis las fiestas de la mejor forma. Siendo responsables. Siendo felices con lo que podamos hacer y disfrutando del que tengamos al lado. Así lo haré yo. Prometemos mucha más guerra el año que viene, seguiremos aportando y es que eso es lo que hacemos cada uno de nosotros aportar a un todo. Gracias a todos los que me apoyan, amigos, compañeros, familiares y a ti (y a él). ¡A por el 2021!
Leer más
      editar

15 dic 2020

Jugando con GPOs I - Cómo registrar cambios sobre GPOs en tu Directorio Activo

Por el 15 dic 2020 con 0 comentarios

¡Muy buenas a todos!

Hoy damos comienzo a una nueva serie de artículos en Flu, esta vez, sobre GPOs (Group Policy Objects). Durante los próximos tres artículos vamos a tratar los siguientes temas:

  • Parte I: Habilitaremos los logs en un Controlador de Dominio para monitorizar los cambios sobre las GPOs de nuestro Directorio Activo.
  • Parte II: Con los logs activados y actuando como un atacante, explotaremos una configuración errónea de una de las GPO desplegadas (GPO abuse).
  • Parte III: Analizaremos los logs generados en el DC desde el punto de vista de un analista para intentar detectar los cambios realizados por el atacante.

Dicho esto, ¡comencemos!

Fig 1: Una definición de GPO muy intuitiva.

Introducción a las GPO

Según Microsoft, una GPO es una colección de políticas del sistema con nombre único (GUID). En castellano, es un objeto donde podemos definir políticas a aplicar sobre determinados grupos del directorio activo. Por ejemplo, deshabilitar el administrador local de máquina de todos los equipos pertenecientes al grupo Recursos Humanos. 

Bien, como os podéis imaginar, las GPOs son muy potentes; una mala configuración sobre sus permisos podría permitir a un usuario modificar sus políticas y, por ende, afectar a los grupos que cuelguen de esa GPO (imaginad si, en el caso anterior, un usuario pudiera reactivar el administrador local, por ejemplo). Para registrar los cambios sobre las GPOs (modificación, creación y eliminación), es necesario que sigamos los siguientes pasos. 

Nota: Para entrar en detalle, podéis seguir este artículo.

Cómo habilitar los logs

Primero, tendremos que activar los logs de cambios del Directory Service.

Fig 2: Active Directory Service Changes tiene que estar en "Success".

Con esta configuración activa, los cambios sobre las GPOs se empezarán a incluir en los eventos de Windows, sin embargo, de todos los eventos posibles que se pueden generar (5136, 5137, 5138, 5139), solo se registraran de manera automática los de modificación (5136).

Fig 3: Únicos eventos generados tras activar los logs.

Para mejorar esta pobre recolección, tendremos que habilitarlos mediante una entrada específica en su SACL, para ello, emplearemos el editor de ADSI.

Fig 4: Mejorando la generación de logs con ADSI.

Una vez dentro (os vuelvo a remitir al artículo de antes), crearemos las reglas de control de acceso. 

Fig 5: Reglas de auditoría que nos tienen que quedar tras activarlas.

La primera aplicará al propio objeto (Policies) y habilitará el check para registrar creaciones de GPO, es decir. todo objeto creado dentro de Policies (evento 5137). 

Fig 6: Eventos generados por la primera regla.

La segunda, aplicará a todos los objetos que caigan de Policies y registrará el borrado y las modificaciones de las GPOs existentes (eventos 5136 y 5141).

Fig 7: Eventos generados por la segunda regla.

Contenido de uno de los logs generados

Como podéis observar, con los cambios que hemos realizado, ya tenemos capacidad para detectar creaciones, modificaciones y eliminaciones de GPOs. Además, si entramos en el contenido de estos eventos, podremos identificar también el usuario que lo ha realizado, la hora, el GUID de la GPO eliminada... permitiéndonos tener una mayor trazabilidad sobre estos cambios.

Fig 8: Ejemplo de evento de borrado de una GPO.


En el próximo artículo, veremos como abusar de una mala configuración de GPO para adquirir privilegios de Administrador sobre un equipo vulnerable, pero ya será en 2021, porque los compañeros de Zerolynx haremos a partir de hoy un merecido descanso hasta después de las vacaciones de Navidad :)

En unos días contaréis con las habituales reflexiones del año de mis compañeros Pablo González y Juan Antonio Calles. 

Por mi parte, ¡desearos unas felices fiestas a todos!

Y... Happy Juancking!

Leer más
      editar

14 dic 2020

Conclusiones de la 18th ESCAR Europe

Por el 14 dic 2020 con 0 comentarios

 


[English post below]

Hace unas semanas, estaríamos de vuelta del viaje a Alemania para asistir a la 18ª edición del ESCAR Europe. Seguramente muy emocionados compartiendo todo lo aprendido en el congreso, abriendo nuevas oportunidades de negocio surgidas de los cafés de networking y fardando con los amigos de aprovechar la ocasión para visitar ciudades, museos de automoción, circuitos...

En esta ocasión y con mucho criterio, el congreso se ha realizado en modalidad online. Pero esto no significa que haya sido monótono y distante, sino una experiencia alternativa y positiva. Los organizadores han hecho uso de las aplicaciones y plataformas que mejor se adaptan a las necesidades de un congreso, junto a una retransmisión en directo coordinada desde una realización estilo televisión, de tal forma que las ponencias se sucedían de forma ordenada siendo previamente presentadas y comentadas por lo organizadores del evento, sin dejar al margen la interacción con los espectadores.

Las ponencias se dividían en múltiples salas: La sala principal del evento (Talque app) y las salas correspondientes a los patrocinadores (Cisco Webex, MS Teams, Zoom Video...). El problema que se plantea en este formato online y que sería óptimo mejorar de cara a posteriores ediciones, es que no hay tiempo para realizar el cambio de sala. Sería óptimo facilitar un breve intervalo de tiempo que permita cambiar de la aplicación principal del evento a las plataformas secundarias empleadas por los patrocinadores, ya que no hay margen para hacer el cambio de sala entre el final de una ponencia y el comienzo de otra, perdiendo siempre el tiempo de preguntas de la ponencia actual o la introducción de la siguiente.

Si algo caracteriza a ESCAR respecto otras conferencias, es su enfoque sobre ciberseguridad en el sector de la automoción, añadiendo este año pinceladas sobre ciberseguridad en infraestructura ferroviaria. Repasando la temática de este año [1], de nuevo ha sido muy amplia y de gran calidad, actualizada y contando con la participación de profesionales reconocidos en el sector. Se ha podido asistir a ponencias de todo tipo de especialidades técnicas relacionadas con la ciberseguridad en automoción, ya sea normativa aplicable, análisis de riesgos, hardware hacking, monitorización de ECUs y seguridad ante computación cuántica entre otros. En futuros posts comentaremos estas temáticas en profundidad.

Para aquellos que estén acostumbrados a asistir a conferencias técnicas de ciberseguridad, notarán una diferencia muy grande en que gran parte del espacio temporal es ocupado por ponencias de las empresas patrocinadoras, en las cuales explican las novedades introducidas por sus productos y su aproximación a las nuevas necesidades del mercado, generalmente a alto nivel sin entrar en el detalle técnico que nos gustaría conocer.

El oscurantismo característico de la industria de la automoción se hace notar de nuevo en esta edición. A falta de pocas semanas para que entre en aplicación el Reglamento de Naciones Unidas (WP.29) ECE/TRANS/WP.29/2020/79 [2] que afectará a 54 países miembro, no se ha presentado ninguna ponencia de OEMs que expliquen su visión de cómo se está abordando la nueva normativa, problemas de inconsistencia que puedan haber detectado, nuevas tecnologías y procesos introducidos o algún tipo de comentario que indique qué se está haciendo al respecto.

El hecho de que rara vez se publique un CVE asociado a un vehículo no nos sorprende, pero ver en una gráfica el total de CVEs de las principales marcas de la industria nos debería de abrir los ojos.

En la imagen superior, mostrada en la ponencia Global Automotive Cybersecurity [3], se resume el panorama de vulnerabilidades descubiertas en productos del sector. Como se puede apreciar, el número de CVEs publicados es diminuto en comparación con el mundo IT, de hecho muchas marcas reconocidas no tienen ningún CVE publicado. Este listado es encabezado por Tesla, seguido por BMW y Mercedes-Benz. En mi opinión, que una marca tenga CVEs no es malo, es bueno. Cualquier sistema que disponga de la complejidad tecnológica de un coche es altamente probable que presente vulnerabilidades con el avance de la tecnología, por lo que aceptar públicamente los errores y demostrar su corrección es la mejor forma de exponer que se está tomando la ciberseguridad en serio y se está haciendo un buen trabajo al respecto.

Para complementar las ponencias, se han propuesto tres talleres de una duración de tres horas, de los cuales, he tenido la oportunidad de asistir al taller Automotive Cybersecurity Testing. Éste han sido tres horas de puro marketing del proceso, haciendo una acertada aproximación teórica pero solo incluyendo pinceladas a nivel técnico. No es una sorpresa, ya que la presencia de metodologías de testing de ciberseguridad de vehículos es prácticamente inexistente. De ahí la importancia de participar en el desarrollo del proyecto Open Mobility Security Project [4] y que este sea adoptado como herramienta de referencia.

De cara a la siguiente edición, me gustaría que aumentasen los contenidos a nivel técnico sobre las tecnologías E/E que componen los vehículos y algo menos de procesos a alto nivel, ya que estos pueden llegar a ser repetitivos, pero siempre manteniendo un amplio espectro temático que satisfaga a todos los asistentes.

Para todos aquellos que no hayáis podido asistir y os gustaría poder acceder a los contenidos, en la página web de ESCAR [5], en su área de descargas, con un simple registro tendréis acceso a todos los papers y presentaciones de las pasadas ediciones, en su versión europea y norteamericana. Además, una vez finalizado el congreso, las ponencias pueden ser vistas en diferido en la misma plataforma de streaming empleada, algo muy útil en caso de no poder asistir a dos ponencias solapadas en el tiempo o mismamente si se desea hacer un repaso.

Espero que el próximo año sea posible la celebración presencial del 19th ESCAR Europe y de nuevo podamos compartir allí nuestro conocimiento y experiencia con profesionales provenientes de todo el mundo.

Referencias

[1] https://www.flu-project.com/2020/12/18th-escar-europe.html

[2] http://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-Revised.pdf

[3] Global Automotive Cybersecurity. Upstream Security. ESCAR Europe 2020.

[4] https://www.flu-project.com/2020/03/open-mobility-security-project-omsp-is-released.html

[5] https://www.escar.info/downloads.html


18th ESCAR Europe. Review.

A few weeks ago, we would be back from the trip to Germany to attend 18th ESCAR Europe. For sure sharing excited everything learned in the congress, opening new job opportunities from networking coffees and showing off to our friends the occasion to visit cities, automotive museums, circuits...

On this occasion and with great judgment, the congress was online. But this doesn't mean that it was monotonous and distant, but a positive and alternative experience. Organizers have made use of the best apps and platforms to develop a congress, with a live broadcast coordinated as a tv show in such a way presentations were made in order and previously commented, without leaving behind the interaction of viewers.

Presentations were divided in multiple rooms: The main room (Talque app) and partner's rooms (Cisco Webex, MS Teams, Zoom Video...). The problem with this distribution in an online event and which will be great to improve for next editions, is that there is no spare time to change between room apps. It would be optimum to set some time for it without losing the questions time or the start of the next presentation.

If something is characteristic to ESCAR it is its focus over automotive cybersecurity, adding this year some railway cybersecurity. Making a review of this year's topics [1], as always it was large and with a lot of quality, up to date and having renamed professionals. It has been possible to attend presentations with all kinds of automotive cybersecurity specialties as regulation compliance, risk analysis, hardware hacking, ECU monitoring and security against quantum computing between much more. We will speak in depth about some topics in later posts.

Those who are used to assist to general cybersecurity focused conferences will notice much difference in the format, because partner's presentations take up most of the time, where they explain their new products and their approximation to market necessities, usually without the deep technical detail that we would like.

The obscurantism characteristic from the automotive industry it is noticed again in this year's edition. In the absence of a few weeks to enter into application United Nations (WP.29) ECE/TRANS/WP.29/2020/79 [2], that will affect to 54 signing parties, there wasn't any OEM's presentation explaining it's vision about how it will affect the market, inconsistency problems in the regulations, new technologies in development or some kind of comment about what they are doing about it.

It's not a surprise that rarely an automotive related CVE is published, but looking to a graphic that contains the total of CVEs of main brands should make us open our eyes.

In the picture above, showed in Global Automotive Cybersecurity presentation [3], it is summarized almost every vulnerability discovered in this industry. As you can see, the number of published automotive CVEs is tiny compared against IT's CVEs, in fact many brands have none. This list is headed by Tesla, followed by BMW and Mercedes-Benz. In my opinion, having CVEs is not a bad thing, its fine. Any system as technologically complex as a car will have vulnerabilities over technology development very probably, so publicly acknowledging errors and demonstrating its correction is the best way to show that cybersecurity is seriously taken into account.

Three simultaneous workshops complemented presentations, each one with a duration of three hours. I had the opportunity to assist to Automotive Cybersecurity Testing Workshop. Those three hours have been purely marketing about testing process making a correct theoretical approach but without much technical knowledge. It wasn't a surprise, because vehicle testing frameworks are almost inexistent. There is the importance to involve into the development of the Open Mobility Security Project [4] and that this framework will be adopted as a reference tool.

Facing the next edition, I would like to see more technical content over E/E vehicle components and less high level content about related processes that could be repetitive, but always keeping a large topic content that satisfies all attendees.

For all of you that couldn't assist and would like to view the full contents, with a simple registry in ESCAR's download page [5], you can download all present and past papers and presentations from the European and North American editions. Once the congress has ended, you can review all presentation recordings as well. It is very useful if you couldn't assist or if some presentations were overlapped at the same time.

I hope that 19th ESCAR Europe can take place physically and that there we could share again our knowledge and experience with professionals coming from around the world.

References

[1] https://www.flu-project.com/2020/12/18th-escar-europe.html

[2] http://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-Revised.pdf

[3] Global Automotive Cybersecurity. Upstream Security. ESCAR Europe 2020.

[4] https://www.flu-project.com/2020/03/open-mobility-security-project-omsp-is-released.html

[5] https://www.escar.info/downloads.html

Leer más
      editar

11 dic 2020

18th ESCAR Europe

Por el 11 dic 2020 con 0 comentarios

 

https://hsm.utimaco.com/wp-content/uploads/2017/10/escar-Europe-2017-1024x505.jpg


[English version below]

Hola lectores!

En mi primer post os voy a hablar de un evento importante en la agenda de CONs de ciberseguridad que habitualmente pasa desapercibido.

ESCAR (Embedded Security in Cars) es una conferencia internacional en la cual se congregan expertos de los sectores de la automoción y la ciberseguridad para compartir conocimiento, experiencias y conocer otros profesionales con los que abrir nuevas vías de negocio. Esta conferencia tiene lugar en Europa, Asia y USA de forma independiente. Concretamente, la edición Europea se celebra anualmente desde hace dieciocho años entorno al mes de Noviembre, habitualmente en alguna capital alemana. Durante dos intensas jornadas los participantes pueden disfrutar de ponencias temáticas acompañadas de talleres, mesas redondas y tiempo del café para socializar.

La edición de este año se ha celebrado los días 11 y 12 de Noviembre de forma telemática a través de la aplicación Talque. Las ponencias de particulares se han organizado en seis sesiones categorizadas por su temática (1- ECUs seguras, 2-Ataques y respuesta, 3-Criptografía, 4-Privacidad, 5-Comunicaciones seguras y 6-Procesos seguros), siendo estas acompañadas por ponencias de las marcas patrocinadoras en las cuales muestran sus productos, sumando así un total de alrededor de cincuenta ponencias. Respecto los talleres, son actividades de formación específica impartidos a pequeños grupos por profesionales reconocidos en el sector, siendo habitualmente empleados de OEMs, grandes TIERs e investigadores de universidades destacadas.

Para más información os dejo en enlace de su página web: https://www.escar.info/

En mi siguiente post, haré un repaso de las jornadas, de tal forma que todos los que no hayáis podido asistir dispongáis de una referencia de contenido que os anime a participar en ediciones posteriores, así que manteneos atentos al blog!



 

18th ESCAR Europe

Hello readers!

In my first post I'm gonna tell you about an important event in cybersecurity CONs agenda that usually keeps unnoticed.

ESCAR (Embedded Security in Cars) is an international confference thet aggregates experts from automotive and cybersecurity sectors to share knowledge, expereinces and discover new business paths with other professionals. This conference takes place in Europe, Asia and USA by independent. Specifically, European edition is celebrated annually by November since eighteen years. For two intense days, participants can enjoy tematic presentations accompanied by workshops, round table discussions, and coffee time to networking.

This year's edition has taken place online by November 11 and 12, through Talque app. The presentations have been arranged in six sessions categorized by its tematic. (1-Secure ECUs, 2-Attacks and Response, 3-Cryptography, 4-Privacy, 5-Secure Communications, 6-Secure Processes), sharing timetable by partners' talks, where they announce and explain their related products and services, totaling fifty presentations. Regarding the workshops, they are specific formation activities teached by recognized professionals in the sector, usually beeing OEM's employees, big TIERs and outstanding universities.

For more information, visit its web page: https://www.escar.info/

In my next post, I am going to review the journey to keep you updated and encourage your participation in future events, so stay tuned!

Leer más
      editar

10 dic 2020

TOP 15 de Amenazas de ENISA - Ataques basados en web

Por el 10 dic 2020 con 0 comentarios

Continuamos con la saga que analiza los informes asociados al TOP 15 de cyber amenazas de ENISA, y en este caso vamos a analizar la amenaza en el segundo puesto: los ataques basados en web.

ENISA clasifica los ataques basados en web como cualquier método que utilicen los actores maliciosos apoyándose en sistemas y servicios web. Como veremos a continuación, en este caso la superficie de ataque es muy amplia. Dentro de las tendencias se mencionan, entre otros, las siguientes técnicas:

  • Formjacking o secuestro de formularios, donde el atacante inyecta código malicioso en sitios web comprometiodos. Esta es una técnica muy habitual tanto para inyectar código malicioso asociado a criptomineros, como para la manipulación de formularios con el objetivo de extraer datos de usuario y bancarios de las víctimas. 
  • Estos últimos ataques, de tipo "magecart", han pasado a afectar directamente a la cadena de suministro. Poniendo foco en este punto, los actores maliciosos evitan la necesidad de comprometer sitios de uno en uno, sino que en su lugar atacan, por ejemplo, a un proveedor de anuncios web. De este modo, a través de un único compromiso son capaces de inyectar código malicioso en todas las web que utilicen la plataforma de publicidad atacada inicialmente.
  • Los atacantes están utilizando plataformas de colaboración y mensajería, como Slack o Github, para enviar comandos o recibir la información extraída de las víctimas. Google Sites también ha sido utilizado para hostear ficheros maliciosos o exfiltrar los datos robados de las víctimas.
  • Las extensiones maliciosas siguen siendo utilizadas para comprometer a gran cantidad de víctimas. Se han detectado campañas de malvertising afectando a 1.7 millones de usuarios que usaban extensiones de Chrome maliciosas, y que mantenían el equipo infectado conectado a la red C2 del atacante.

Por otro lado, obviamente los Sistemas de Gestión de Contenidos (CMS) como Wordpress o Drupal siguen siendo uno de los activos web más atacados, a través de vulnerabilidades como Drupalgeddon2, o haciendo foco en plugins de terceros no actualizados. 

Desde el punto de vista de los navegadores, siguen detectándose campañas de tipo watering hole o drive-by que acaban lanzando exploits a los navegadores afectados. Por ejemplo, durante una campaña que afectó a un portal web de noticias que están redactadas en koreano, se detectó el uso de exploits para CVE-2019-13720 (Chrome) o CVE-2019-0752 (Internet Explorer).

Como siempre, las propuestas de mitigación son conocidas y muy claras:

  • Mantener nuestros sistemas debidamente actualizados, tanto desde el punto de vista de los navegadores, como de los servidores web, gestores de contenido y sus extensiones.
  • En el caso de ser dueño de un servidor web, hacer hardening y reducir la superficie de ataque.
  • En el caso de los navegadores, hacer uso de extensiones de bloqueo de publicidad, o para el bloqueo de javascript no autorizado.
  • Hacer uso de application whitelisting o utilizar sandboxes para el navegador, para aislar cualquier posible amenaza y que esta no pueda afectar al equipo final. 
  • Y por supuesto, instalar una buena solución antimalware, o sistemas que impidan el acceso a URLs maliciosas.

Nos vemos en el siguiente post!

Leer más
      editar

9 dic 2020

CISSP: Cheatsheets y otros recursos

Por el 9 dic 2020 con 1 comentario

¡Buenas!

Hoy os queremos hablar de la certificación CISSP (Certified Information Systems Security Professional) de (ISC)2 (International Information Systems Security Certification Consortium) y de alguno de los recursos de estudio que se pueden encontrar para tener una primera toma de contacto y comenzar a prepararla. 

CISSP es una certificación cuyo objetivo es reconocer a profesionales con formación en el área de seguridad de la información. Se compone de 8 dominios de conocimiento que cubren el CBK (Common Body of Knowledge) que ha determinado el (ISC)2 para la certificación. El examen es un tanto peculiar porque si se realiza en inglés tiene una duración de 3 horas y consta de entre 100 y 150 preguntas cuya dificultad es adaptativa en función de si se responde correcta o incorrectamente las preguntas y sin posibilidad de volver atrás para modificar una respuesta. Sin embargo, si el examen se realiza en otro idioma que no sea inglés, se considera de dificultad lineal y constará de 250 preguntas con una duración de 6 horas. En ambos casos, es necesario obtener una puntuación de 700 sobre 1000 para aprobar. Además, como requisito para obtener el CISSP, los profesionales deben acreditar, al menos, 5 años de experiencia acumulada en 2 de los 8 dominios que componen la certificación. No obstante, en caso de no disponer de esta experiencia se puede evidenciar en los 6 años siguientes.

Todo esto se encuentra reflejado en la guía del examen de certificación con mayor nivel de detalle. No obstante, está previsto que haya ligeras modificaciones a partir del 1 de mayo de 2021, que normalmente suele afectar al peso de cada uno de los ocho dominios para calcular la nota final del examen de certificación y a revisiones y actualización del contenido, por lo que es una cuestión a tener en cuenta en caso de estar pensando en presentarse al CISSP.

Si bien es cierto que hay múltiples recursos para preparar la certificación, para tener una primera toma de contacto y poder revisar los conceptos de CISSP, (ISC)2 dispone de un curso de revisión de CISSP (que a la fecha de redacción de este post, es gratuito). No se trata de un curso para preparar el examen de certificación, pero resulta interesante como iniciación a los dominios que componen CISSP, así como para familiarizarse con los conceptos más relevantes. El acceso gratuito a este curso no es indefinido puesto tiene una duración de 180 días. 

Otro recurso que puede resultar de utilidad para preparar la certificación, son las flashcards. Son tarjetas interactivas en las que aparece una definición en una cara y el concepto correspondiente en la otra y que, igual que en el caso anterior, puede resultar útil a la hora de comenzar a estudiar o simplemente para repasar conceptos.

Adicionalmente, cuentan con una serie de webcasts gratuitos, previo registro, sobre los dominios de CISSP y que se encuentran disponibles en la plataforma BrightTALK.

En cualquier caso, en el apartado de preparación del examen de la página web de (ISC)2 se pueden encontrar estos y otros recursos, tanto gratuitos como de pago, para estudiar la certificación por vuestra cuenta.

Por otra parte, desde el blog de comparitech han compartido una cheatsheet por cada uno de los dominios que componen la certificación:

  1. Seguridad y gestión de riesgos
  2. Seguridad de activos 
  3. Arquitectura de seguridad e ingeniería
  4. Seguridad en redes y comunicaciones
  5. Gestión de identidad y acceso
  6. Evaluación de seguridad y pruebas
  7. Operaciones de seguridad
  8. Seguridad en el desarrollo de software

¡Esperamos que estos recursos os resulten de utilidad!

¡¡Saludos y hasta el próximo post!!

Leer más
      editar

4 dic 2020

Herpaderping: un vistazo simplificado (Parte II)

Por el 4 dic 2020 con 0 comentarios

En un post anterior vimos un nuevo exploit de Windows que permite ofuscar procesos maliciosos sin ser detectados (al menos por algunos antivirus). Una vez comprendida bien la vulnerabilidad y cómo funciona por detrás el exploit, vamos a la parte más sencilla (y más divertida) que es usarlo. 

Cómo usarlo

Pues el primer paso es clonar el código de github y compilar el proyecto. Una vez compilado, ya tenemos el ejecutable ProcessHerpaderping.exe.

Lo primero que se mira siempre.

Para usarlo, es necesario indicar la ruta al SourceFile, que es el programa que queremos ejecutar, y la ruta al TargetFile, que es el fichero intermediario que va a usar el exploit para copiar el código del SourceFile, ejecutar el proceso y sobrescribirlo con un patrón (por defecto) o con un binario elegido por nosotros como tercer argumento (ReplacedWith). Realmente no es necesario ni que exista el fichero TargetFile. Con especificar cualquier nombre, el exploit se encargará de crearlo si no existe (y no tiene por qué tener una extensión .exe). Ojo, que aunque la opción del patrón esté por defecto, es necesario configurarla nosotros en el código. Si no lo hacemos, el exploit simplemente sobrescribe el archivo con la cadena "roflroflrofl" hasta alcanzar el tamaño del original.

El objeto Pattern simplemente es la cadena "rofl" en hexadecimal.
Si nos queremos currar un patrón y dejar niquelado el exploit, hay que añadirlo a partir de la línea 296 del main.cpp.

Así queda el archivo una vez sobrescrito.

Algo similar ocurre si marcamos la opción -r o --random-obfuscation. En ese caso, el exploit sobrescribe el TargetFile con una cadena de bytes aleatorios. Desde mi experiencia, la ofuscación con patrón o con números aleatorios (únicamente) no da buenos resultados (aunque todo es ir probando). De alguna manera, Windows Defender sigue detectando el proceso malicioso, lo que me lleva a cuestionarme si es por culpa del patrón en sí o más bien del proceso interno que sigue el exploit a la hora de sobrescribirlo, ya que en este caso no hay firma ni nada. En cualquier caso, vayamos a la opción más cómoda y más efectiva, que es la de pasar como tercer argumento la ruta a un binario confiable. Después de realizar varias pruebas, os advierto que no sirve cualquier binario "no malicioso" para engañar al antivirus. Los que mejor resultado dan son aquellos que van firmados, y los que son infalibles (por el momento) son los servicios críticos de sistema: lsass.exe, csrss.exe, smss.exe, svchost.exe, wininit.exe, etc.

Pongamos como ejemplo la ejecución de mimikatz.exe, hoy en día bloqueada por la mayoría de antivirus. Supongamos que tenemos un binario, que no ha borrado el antivirus, pero en cuanto lo queramos ejecutar lo detectará y bloqueará su ejecución (y en ese caso seguramente lo borre también). Lo único que debemos hacer para conseguir ejecutarlo sin ser detectado es llamar al exploit de la forma siguiente:

Herpaderpeando mimikatz.
Ejecución exitosa con Windows Defender activado.

En el momento de la ejecución pasan dos cosas muy curiosas. Si inspeccionamos el proceso (con process hacker por ejemplo), veremos que el proceso hijo creado, "soybueno.exe", presenta el logo y la descripción de mimikatz pero está firmado por Microsoft Windows Publisher

Inspección del proceso creado con Process Hacker.

Propiedades del proceso.

Si inspeccionamos el propio fichero, veremos algo similar, y además podremos ver que el contenido ya está reemplazado por el del binario que pasamos como tercer argumento. Si no marcamos la opción -r, se añade el patrón (por defecto "roflrofl") hasta alcanzar el tamaño del SourceFile, en el caso en el que el binario utilizado para reemplazarlo sea de menor tamaño. Siempre es recomendable añadir la opción de random-obfuscation para que el fichero se rellene con bytes aleatorios, o mejorar el patrón de ofuscación.

Propiedades del TargetFile en disco mientras se está ejecutando el proceso. Descripción y logo de mimikatz pero firma de Microsoft.
Propiedades del TargetFile en disco una vez cerrado el proceso. Descripción y firma de lsass.exe.

Por otro lado, mientras se esté ejecutando el proceso creado, sigue siendo posible ejecutar otros procesos en paralelo simplemente haciendo doble click en el TargetFile (si le hemos puesto una extensión que Windows reconozca como ejecutable obviamente). El proceso padre ya no será ProcessHerparderping.exe, sino explorer.exe (el explorador de Windows), pero el proceso ejecutado seguirá siendo el del SourceFile. Esto es realmente sorprendente, ya que, como hemos visto antes, el archivo a esas alturas ya está sobrescrito. Al autor del exploit también le llamó la atención este comportamiento y, tras investigarlo, llegó a la conclusión de que los datos en memoria de la imagen cacheada (image section) que se utilizó para crear el primer proceso se reutilizan para crear los otros procesos (se trataría de una especie de optimización), aunque estos procesos sean independientes unos de otros. Recomiendo leer la explicación detallada del autor para entenderlo mejor. Una vez cerrado el primer proceso, ya no es posible volver a ejecutarlo ya que esta vez se utilizaría el contenido del binario ya reemplazado.

Ejecución de varios procesos en paralelo a partir del binario en disco.

Dos nuevos procesos se crean a partir del proceso padre explorer.exe.

A raíz de este descubrimiento, el autor añadió la opción -e o --exclusive, que lo que hace es no permitir que otros procesos tengan acceso al TargetFile mientras el primer proceso tenga abierto el handle, que además se fuerza a que se mantenga abierto el mayor tiempo posible. Puede que sea por esto último (o por otra razón que habría que investigar más en profundidad) que Defender acaba detectando que el proceso es malicioso si se utiliza esta opción (al menos en el caso de mimikatz).

Utilizando la opción "exclusive" da un error al intentar ejecutar otros procesos en paralelo mientras se está ejecutando todavía el primer proceso.

Finalmente, el resto de opciones no afectan directamente al comportamiento que ya hemos visto, ya que son sólo pequeñas modificaciones en el funcionamiento a bajo nivel del exploit. La opción -u o --do-not-flush-file evita que se llame a la función FlushFileBuffers cada vez que se realiza una operación de escritura. Esto se suele hacer para forzar al sistema operativo a que escriba los datos en disco en vez de almacenarlos en un búfer interno. La opción -c o --close-file-early fuerza a que se cierre el archivo (el handle) antes de crear el hilo del proceso. Esto modifica el orden por defecto, que es write -> map -> modify -> execute -> close, por write -> map -> modify -> close -> execute, pero en este caso el orden de los factores no altera el producto. Y finalmente, la opción -k o --kill, que tiene sentido si queremos ejecutar un proceso que se ejecute y termine de forma automatizada, pero que no sirve de nada para programas interactivos.

Una vez hemos comprendido bien la vulnerabilidad y sabemos cómo utilizar el exploit, sólo falta experimentar un poco con él y aprovechar el potencial que tiene (que no es poco).

Saludos!



Leer más
      editar
< >