Puedes registrarte aquí y no te olvides de echar un vistazo a MyPublicInbox, la plataforma que te permite contactar con personas relevantes que está revolucionando la redes.
Ayer publicamos en el blog de Zerolynx un artículo dedicado al Análisis Forense Digital de correos electrónicos en Microsoft Office 365. Si queréis acceder a su contenido, no dudéis en visitarlo en el siguiente enlace:
https://blog.zerolynx.com/2022/05/analisis-forense-digital-de-correos-office-365.html
Mientras tanto, os dejo por aquí la introducción:
Con el avance de la nube y la automatización de los procesos en las empresas, Microsoft Office 365 se se está extendiendo de forma imparable, sustituyendo a las clásicas instalaciones de Exchange que requerían de un mayor mantenimiento y control. Sin embargo, la nube trae cambios, y toca adaptarse a un sinfín de nuevas configuraciones, nuevas vías para hacer las cosas a las que ya estábamos habituados y nuevos modos de licenciamiento.
Desde el punto de vista forense, los peritos teníamos diferentes opciones para presentar un dictamen pericial que diese fe de la existencia de determinados correos electrónicos dentro de un buzón. Entre otras opciones destacadas, y atendiendo al principio de siempre “clonar” el mayor contenedor, podíamos acceder a Exchange para exportar el buzón de correo del usuario, podíamos clonar el propio servidor de correo, o incluso, el disco duro del PC del propio usuario del que luego extraer el PST. Sin embargo, todo esto está cambiando. Los servidores ahora están en un proveedor externo, Microsoft (como ya pasaba si teníamos contratado un hosting en modo SaaS), y los usuarios se están habituando a utilizar Office 365 desde su navegador. Y, en estas circunstancias, ¿cómo clonaríamos un buzón de correo electrónico manteniendo todas las garantías de integridad forense? De eso os hablaremos en este artículo.
Ahora viene el momento publicidad. El Lab que se estrena el próximo 9 de marzo (y que durará 8 horas de entrenamiento y pentesting puro) consta de diversos escenarios para ir explicando de forma muy práctica la metodología y las diferentes fases que un pentester puede llevar a cabo. Así como el uso de herramientas cotidianas o técnicas que pueden ser de sumo interés. No todo serán escenarios, habrá instantes en el que juguemos con máquinas virtuales y podamos aprender mucho en 8 horas.
En este enlace dispones de la información sobre todo lo relacionado con el Lab y con las posibilidades que este proporciona a los alumnos. Los objetivos marcados son:
- Aprender metodología para hacer un pentesting práctico y resolver problemas
- Enfrentarse a entornos reales
- Resolver escenarios a través de un entrenamiento práctico
¿Cómo funciona el lab?
Llegamos al final del año 2021. Un año que venía a reorientar nuestras vidas. Un año que proponía una nueva realidad y una nueva forma de afrontar la vida. Palabras como remoto, teletrabajo o confinamientos y aislamientos forman parte del día a día en muchos trabajos. Esos trabajos que tienen la suerte de poder hacerse en remoto, ya que otros muchos no lo son.
Personalmente, el año 2021 ha sido un año muy importante. Un año que ha cambiado mi camino para siempre. Un año que me ha regalado lo que nunca se podrá superar. Un año que tiene banda sonora propia e imágenes de retina que nunca se podrán olvidar. Al 2021 solo puedo darle las gracias, porque en lo personal no ha podido ser mejor. Y no es fácil para muchos avanzar en estos tiempos de pandemia, en estos tiempos que creemos que no pasan, pero que debemos comprender que pasan y no vuelven. Nunca volverás a tener la edad que tenías el día antes del comienzo de la pandemia. No lo pienses. Haz que tu vida siga, que avance, haz lo que tenías planificado, quizá en un mañana no haya opción.
Para mí es muy importante hacer cosas. No parar. Hacer cosas se transforma en nuevas ideas, nuevos proyectos, nuevos caminos y es algo que me apasiona. Me gusta tomar distancia y ver qué hacemos durante estos años. Las cosas que hemos ido haciendo, el camino que hemos ido recorriendo, los errores que hemos cometido (éstos para mi son muy importantes, aprendemos más de los fracasos que de los éxitos). Fracasa una vez y aprenderás como si de tres éxitos se tratase. Aprende lo que te gusta, lo que te motiva, lo que quieres lograr, lo que quieres hacer y fracasando aprenderás cómo no debes hacerlo, qué es lo que realmente quieres hacer y conseguir y la fórmula para lograrlo. Os dejo "My Backup" y ya son unos cuantos años. Un Pablo que ha crecido en lo personal y en lo profesional con el paso de los años.
Otra reflexión que me deja el año 2021 es el debate sobre el esfuerzo y la dedicación. Algo tan impopular, pero que nos lo han puesto en el 'foreground'. La ciberseguridad no es sencilla. La ciberseguridad es esfuerzo y dedicación. Diario. No hay aspectos mágicos. El tiempo es tu aliado. Cuando uno es joven tiene el tiempo de su parte. Tiempo para aprender, para conocer, para equivocarse, para elegir. Aprovéchalo. No tengas prisa por llegar. No tengas prisa por querer llegar a las cotas que soñaste. Prepárate y vive el sueño, paso a paso. La cultura de esfuerzo y dedicación es necesaria en la ciberseguridad y, por lo general, en el mundo de la tecnología. Con humildad, esfuerzo y dedicación todo se puede, pero requiere del elemento fundamental: el tiempo. Ese elemento tan deseado hoy día, tan complejo de conseguir y en algunos casos tan despreciado.
Sin más, voy a dar comienzo con mi resumen anual. Este año, por diversos motivos, menos movido que otros años, pero intenso. Contento con el resultado. Contento por seguir haciendo cosas otro año. Doer.
Enero empezó con las universidades, clases online, clases presenciales, masterclasses, sigue siendo algo que me gusta, me motiva y me llena. Espero poder seguir estando ahí mucho tiempo, aportando mi granito de arena. Además, tuve la oportunidad de estar en BSides Panamá con la charla "ATTPwn: Emulación de adversarios y técnicas ofensivas"
Hay que decir que en el mes de enero echamos mucho de menos a mi querida Sh3llCON. Espero que este año que pronto empezamos podamos volver a vernos. Oh mi Sh3llCON, mi querida Sh3llCON. Sinónimo de casa, mi casa :)
Febrero fue un mes de más clases y de una nueva edición de Morteruelo CON en 2021. En esta ocasión nos tocó hacerlo online y hablé sobre nuestra herramienta de emulación de adversarios ATTPwn. He tenido la suerte de estar en más de 5 ediciones de este congreso y siempre es un orgullo poder compartir el tiempo y las charlas con mis amigos de Cuenca. Espero que sigamos estando ahí durante muchos años. Además, en el mes de febrero me tocó dar una charla de orientación sobre la ciberseguridad y el entorno laboral. Una experiencia poder contar mi visión sobre ello y poder compartir ideas con los asistentes.
En el mes de marzo nos quedamos huérfanos de Rooted. Es el mes de la Rooted y este año nos tuvimos que aguantar sin ella. El mes de marzo seguí con las universidades, clases, sesiones, masterclasses, TFMs y alguna participación en radio y televisión. Un mes que marcaba mi punto y seguido al siguiente mes y medio que me tomé "de vacaciones". En el mes de abril estuve apagado o fuera de cobertura, así como la mitad del mes de mayo. Viviendo nuevas experiencias. Nuevas aventuras. Los sueños locos como diría Fito. Eso sí, 'para toda la vida'.
La vuelta al ruedo comenzó fuerte. Participé en un evento que celebraba la Universidad de Cádiz dónde hablé de Ciberseguridad y la emulación de adversarios. Con esto finalizamos el mes de mayo.
En el mes de junio hice un webinar sobre orientación en el pentesting en el EIP y finalizamos curso lectivo en lo que a Universidad se refiere. En el mes de junio participé en OpenExpo, por segunda vez. En esta ocasión, participé en un concurso por equipos sobre tecnología. Formé parte del equipo MyPublicInbox. Fue una experiencia interesante, y no solo porque el equipo ganara la competición (peleando con el equipo Microsoft o Geekshubs, entre otros - guiño guiño :D). Para finalizar el mes participé en un seminario sobre ciberseguridad de nuevo online. Las ganas de la presencialidad recorrían mis venas, ya que, para mí, es más interesante el 'face2face'.
En Julio volví a una charla presencial en Zaragoza de la mano de mi amigo y compañero Fran Ramírez. En mi pensamiento solo había una expresión: "Por fin". Las ganas de volver a tener la adrenalina y de volver a sentir el 'calor' de la gente. La temática de la charla era el poder de la gran pantalla en la transformación digital. ¿Cómo? Así es. Una charla con un registro diferente para mí, acostumbrado a las charlas técnicas, pero la disfruté mucho. Mucho.
También presentamos la herramienta on-the-fly que implementa funcionalidades de auditoría de red para TI, IoT o ICS. El paper y documentación de la herramienta se puede encontrar en el siguiente enlace.
Y para finalizar el año, ¡Volvió la Rooted! Eso sí, con estreno en Málaga. La Rooted Málaga se celebró los días 9 y 10 de diciembre y tuve la suerte de poder estar impartiendo un Rooted Lab sobre Hacking Ético. Tengo que decir que era mi décimo quinta edición de RootedLab entre Rooted Madrid, Rooted Valencia y la primera Rooted Málaga. Todo un honor para mí poder estar una ocasión más y espero con muchas ganas la edición de Marzo en Madrid.
Además, en el mes de diciembre se publicó un libro muy especial para mí. En el mes de agosto, Chema Alonso me propuso escribir un relato corto de lo que quisiera para contribuir en un libro benéfico, dónde los autores donamos nuestra contribución a la fundación Gomaespuma y todo lo bueno que están haciendo por los niños. Sin dudarlo me lancé a la piscina.
El libro se llama "Relatos para hackear el tiempo" y cada uno aporta una visión diferente con sus relatos. Reirás, llorarás, te estremecerás, disfrutarás, tendrás ciencia ficción, humor, pero sobre todo, aportarás a una necesidad. En este libro hay autores como Pérez-Reverte, Antonio Castelo, Juan Luis Cano, etc. Orgulloso de contribuir y poder estar en un libro con cada uno de ellos, grandes profesionales en su campo.
Por último, y abierto todo el año, deciros que sigo con mi buzón público de MyPublicInbox (dónde espero pronto dar novedades) y aportando un porcentaje de los tempos a una asociación.
Ahora ya sí, toca despedir el año y mi resumen. Para el año 2022 pido muchas cosas y también ofrezco esfuerzo. Intentaré seguir dando guerra, estar de aquí para allá, pensando y haciendo cosas que hacen nuestro recorrido en la vida algo interesante. Aportando todo en lo familiar y también en lo profesional. No sabemos cuanto tiempo nos queda, pero lo que está claro es que cuando mires atrás tengas tus recuerdos, tu mejor tesoro, tus vivencias, tu mejor conocimiento y tu mejor regalo. El año que viene más. Gracias a todos los que me apoyaron, me apoyan, a los que ya no están y que se fueron demasiado pronto, a ti (a él) y a la familia. Sin vosotros nada sería lo mismo. ¡A por el 2022!
¡Buenas a todos!
Los años van pasando y por aquí seguimos 11 años después, sin pausa, pero sin prisa. No publicamos todo lo que nos gustaría, pero si nos gusta todo lo que publicamos, y así seguiremos mientras haya algunos locos que se molesten en abrir nuestro blog para leer lo se nos ocurra comentaros cualquier día random del próximo 2022 :). Por lo que en breve tendréis con vosotros nuestros ya tradicionales resúmenes del año. Nueve años contándoos nuestra vida, sobre todo sus cosas buenas, que para contar disgustos ya tenemos todos bastante ¿no pensáis?
Esperemos que el próximo 2022 sea por fin el final de esta pandemia y que pueda ser el año que todos esperamos con tantas ganas.
¡Un fuerte abrazo mío y de Pablo!
Por último, si a pesar de cumplir todos estos puntos, quieres saber si los productos pueden provenir de un tercero, puedes realizar una búsqueda en Google Imágenes con la imagen utilizada en uno o varios productos, para encontrar la procedencia de dicha foto (de esta forma a veces se consiguen precios aún más bajos 😄)
Cualquier sitio web está obligado a proporcionar o a mostrar en una tienda online a cualquier usuario, lo siguiente:
Podéis revisar toda esta información y mucha más en el Boletín Oficial del Estado (Disposición 3329 del BOE núm. 76 de 2014)
Por último, si ya has sido estafado y, contactando con la empresa no has podido resolver el problema, debes de comunicarte con las Fuerzas y Cuerpos de Seguridad del Estado para interponer una denuncia.
Ahora, vamos con unos TIPS para conseguir productos más baratos y saber si realmente es un chollo:
Un saludo y felices compras en este Black Friday! :D
En esta primera aventura de RootedCON en Málaga, la gente de Rooted plantea ponentes con charlas potentes, una gran organización y los famosos Rooted Labs. Quiero aprovechar este post para agradecer a la gente de RootedCON la oportunidad de poder asistir a una nueva Rooted, la primera en Málaga. Después de hacer charlas y labs en las Rooted de Madrid y Valencia, podré disfrutar del clima, la cultura y la gente de Málaga.
La agenda está siendo publicada poco a poco y viendo cada ponente, las charlas serán de mucho interés. Buenos amigos dando charlas en la primera Rooted en Málaga y seguro que seguirán llegando las sorpresas.
He tenido la suerte de dar alguna que otra charla en Rooted Madrid y Valencia, así como 8 años de lab en Madrid y 6 años en Valencia. Este año, si todo va bien, toca llevar un taller sobre Ethical Hacking (muy práctico y con alguna sorpresa) a Málaga. Aquí llega el momento publicidad ^^. El taller tiene una duración de 8 horas (intensas y prácticas). Pasaremos el rato aprendiendo sobre enumeración, explotación de vulnerabilidades, técnicas de movimiento lateral, pivoting, escalada de privilegios, etcétera. Todo para que te formes en el hacking ético, pentesting y técnicas utilizadas en momento del Red Team. La fecha de impartición es el viernes 10 de diciembre. Os dejo los lab de este año.