2019/12/13

¡Nos vamos de vacaciones!

Por Juan Antonio Calles el 2019/12/13 con 0 comentarios
¡Buenas a todos! hoy viernes comienzan las vacaciones para muchos de vosotros, o al menos, para los más afortunados que todavía os queden días que gastar :)

Por nuestra parte vamos a tratar de descansar unas semanas para recuperar fuerzas de este intenso 2019, en el que hemos vuelto a recuperar nuestro alma principal, nuestro blog y su uno al día.

Mientras tanto, para que podáis leernos durante estas navidades, os hemos preparado una selección de los 8 artículos más visitados del año, que en su conjunto alcanzan la cifra de 50.000 visitas, ¡disfrutadlos!:

  1. OpenLibra: una biblioteca online gratuita con numerosos recursos de desarrollo, sistemas, redes y seguridad
  2. 7 recursos para iniciarse en el mundo de los CTF
  3. Descubriendo las URLs ocultas de los acortadores
  4. La ardilla, una de las mejores armas para las auditorías a entornos OT
  5. El intrusismo laboral (empresarial) en España en el sector de la ciberseguridad
  6. Explotando BlueKeep con Metasploit
  7. Activación de protección anti Keyloggers en Keepass
  8. UFED Cellebrite: una gran opción para los forenses de dispositivos móviles

En unos días tendréis, como viene siendo tradición, los resúmenes del año de los Owners del blog, Pablo y un servidor, donde os contaremos nuestras peripecias durante este 2019.

Por lo que solo me queda daros las gracias por leernos día a día, y desearos unas felices fiestas.

¡Un abrazo en nombre de todo el equipo de Flu Project!
Leer más
    email this       edit

2019/12/12

Recopilando posibles emails de un objetivo con Email Permutator

Por Juan Antonio Calles el 2019/12/12 con 1 comentario
Buenas a todos, el pasado martes tuve la oportunidad de acercarme por el taller de Inteligencia que impartieron Iván Portillo y Wíktor Nykiel de Ginseg, dentro de los CCN-CERT LABS que se celebraron con motivo de las Jornadas CCN STIC que están teniendo lugar durante esta semana. En el taller tuve la oportunidad de apuntar algunos recursos y utilidades que no conocía, y que siempre vienen bien para seguir ampliando nuevas fuentes y capacidades para ir mejorando los trabajos diarios. Una de las herramientas más simples que contaron, pero que os aseguro que os será más útil de lo que pueda parecer, es Email Permutator:


En las investigaciones que realizamos a nivel de Inteligencia, una de las primeras actividades es la de recopilar cualquier tipo de medio de comunicación existente del objetivo (teléfonos y emails principalmente), con los diferentes fines que tenga en el transcurso de la investigación (generar un contacto directo, verificar en qué sitios web o redes sociales se ha registrado, comprobar si figura en alguna lista de leaks, etc. etc.). Para esta tarea, nosotros utilizamos un script propio, que hemos ido adaptando según hemos ido avanzando en diferentes investigaciones, pero Email Permutator nos permitirá complementar la salida de nuestro script con nuevas ideas de emails que podrían existir:






Estas herramientas se complementan con la que comentamos hace algunos meses para chequear la existencia de un email:


Automatizando ambas tecnologías, podremos rápidamente obtener un listado de potenciales direcciones de correo asociadas al objetivo de la investigación.

Útil y sencillo, ¿verdad?

Saludos!
Leer más
    email this       edit

2019/12/11

Tips de privacidad para Windows10 - Parte 2

Por el 2019/12/11 con 0 comentarios
Muy buenas!

En anteriores publicaciones comenzamos a tratar diferentes formas de cambiar la configuración que viene dada en un sistema Windows 10, por lo que en esta segunda parte vamos a mostrar más formas de realizar cambios a través de las consolas de comandos de Windows y de Powershell (ambas con permisos de administrador).

1. Para eliminar paquetes de aplicaciones que vienen por defecto en Windows 10, en la consola de Powershell debemos escribir los siguientes comandos (según nos interese):

Get-AppxPackage -AllUsers *store* | Remove-AppxPackage
Get-AppxPackage -AllUsers *zune* | Remove-AppxPackage
Get-AppxPackage -AllUsers *photo* | Remove-AppxPackage
Get-AppxPackage -AllUsers *bing* | Remove-AppxPackage
Get-AppxPackage -AllUsers *phone* | Remove-AppxPackage
 [Resultado en la consola de Powershell]

Los comandos anteriores son un ejemplo de los paquetes que podemos eliminar, pero si deseamos conocer todos los instalados en el equipo, debemos escribir:
Get-AppxPackage -AllUsers | Select Name.
2. En el siguiente conjunto de comandos, podemos ver que algunos de los registros a modificar hacen referencia al usuario con el que hemos iniciado sesión (HKCU), y otros al equipo local (HKLM). En este punto es altamente recomendable leer antes de copiar y pegar en la consola de comandos, ya que estamos cambiando y creando registros (it's more sensitive), y es posible que no queramos cambiar todas las opciones que se muestran a continuación, las cuales se han dividido en secciones:

Windows Defender:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v SpyNetReporting /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v SubmitSamplesConsent /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v DontReportInfectionInformation /t REG_DWORD /d 1 /f


Malicious Software Removal Tool:

reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v "DontReportInfectionInformation" /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v "DontOfferThroughWUAU" /t REG_DWORD /d 1 /f

Current Version:
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SecurityHealth" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run" /v "SecurityHealth" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance" /v "Enabled" /t REG_DWORD /d 0 /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\SecurityHealthService" /f


Windows Reporting:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Error Reporting" /v Disabled /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting" /v Disabled /t REG_DWORD /d 1 /f


Windows Update:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v NoAutoUpdate /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v AUOptions /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v ScheduledInstallTime /t REG_DWORD /d 3 /f


[Resultado en la consola de comandos]


Espero que haya resultado útil este conjunto de opciones :)

Muchos maullidos!
M


Leer más
    email this       edit

2019/12/10

Tips de privacidad para Windows10 - Parte 1

Por el 2019/12/10 con 0 comentarios
Muy buenas!

Volvemos del puente de Diciembre para hablaros sobre la privacidad en Windows. Es bien sabido que Windows envía datos de los usuarios para mejorar la experiencia de uso (entre otras cosas), por lo que este post está orientado a la posibilidad de deshabilitar o cambiar algunas configuraciones que vienen por defecto en Windows10, en cuanto a aspectos de privacidad y personalización del sistema.

A continuación vamos a ver diferentes formas de realizar algunos de estos cambios:

1. Feed & Diagnostics.
En los ajustes de Windows buscamos “Feedback & diagnostics” y seleccionamos la opción Basic.
 
 [Sección "Feedback & diagnostics"]

2. Servicios de Windows.
Accedemos a los servicios de Windows (usando Win+r y “services.msc”, o en el buscador de Windows como “Services”), buscamos el servicio “Connected User Experiences and Telemetry”, y lo cambiamos a “Disabled”.

[Servicios de Windows]

3. AllowTelemetry.
Accedemos a los registros de Windows (a través de Win+r y “regedit”, o en el buscador de Windows como “regedit” o “Registry Editor”), y buscamos la ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection 
Creamos un nuevo campo-valor llamado “AllowTelemetry” con un valor tipo DWORD (32bits) y lo ponemos a 0.

[Editor de registros]

 [Campo-valor del registro "AllowTelemetry"]

4. AllowCortana

Hay varias, por ejemplo, dos de ellas son las siguientes:

a.) Siguiendo con el editor de Registros de Windows, esta vez nos vamos al padre del punto anterior (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\) y creamos una nueva clave llamada “Windows Search”, y dentro de ésta creamos un campo-valor llamado “AllowCortana” de tipo DWORD (32bits) el cual ponemos a 0.

[Editor de registros]

b.) A través del editor de las políticas de grupo, al que accedemos a través de gpedit.msc, y buscando en la sección "Configuration > Administrative Templates > Windows Components > Search" buscamos “Allow Cortana” y comprobamos si su valor se encuentra como “Disabled”.

[Editor de políticas de grupo]

[Campo a modificar]


En publicaciones posteriores mostraremos otras formas de añadir, modificar y/o eliminar configuraciones por defecto que se encuentran en una instalación de Windows 10.

 Muchos maullidos!
 M
Leer más
    email this       edit

2019/12/05

Extrayendo la imagen de #WhatsApp con Checkwa

Por Juan Antonio Calles el 2019/12/05 con 1 comentario
Buenas a todos, en el post de hoy quería compartiros un interesante sitio web que os permitirá extraer la imagen de WhatsApp de un nº de teléfono de forma sencilla, sin dejar más rastro que el nº de teléfono consultado y el que queráis dejar al consultar el sitio web :) Se trata de Checkwa:


Su funcionamiento es tan simple como indicar el número para realizar la búsqueda, y pulsar el botón de Search:


Personalmente, en ciertas investigaciones no recomendaría utilizar una plataforma ajena para localizar detalles sobre un nº de teléfono que pueda tener algo de criticidad, pero sin duda es una manera rápida para extraer una imagen asociada a un número, que luego podríamos rastrear en redes sociales, o en otros medios digitales.



Saludos!
Leer más
    email this       edit

2019/12/04

Security Certification Progression Chart 2020

Por Juan Antonio Calles el 2019/12/04 con 0 comentarios
Buenas a todos, mientras leía el artículo de ayer de Daniel sobre las Certificaciones y los Haters, el cual me encantó por cierto, recordaba un interesante hilo que vi en Reddit hace algunos días y que presentaba un gráfico muy potente con un esquema de progresión para las certificaciones de ciberseguridad. Me pareció muy curioso y completo, y no quería dejar de compartirlo con todos vosotros, por lo que os lo dejo a continuación:



Tenéis todo el detalle en su fuente original:


¿Qué os parece este programa de certificaciones?

Saludos!
Leer más
    email this       edit

2019/12/03

Certificaciones y haters

Por el 2019/12/03 con 0 comentarios


Buenos días. Hace un par de meses participé en la presentación del programa de mentoring del grado de ingeniería de la ciberseguridad de la Universidad Rey Juan Carlos y tuve la oportunidad de hablar con los alumnos de diversos temas en los que estaban interesados, entre ellos, qué estudiar al salir de la Universidad. Por ello, he decidido estrenarme en Flu Project con un tema que para mí suele ser bastante polémico: las certificaciones de ciberseguridad. He decidido hablar sobre ellas, ya que fue un tema sobre el que me preguntaron los alumnos y pese a que se sale de la línea habitual de publicación del blog, me parecía muy interesante tratarlo por diversas circunstancias. Quiero dejar claro que, el artículo es una opinión personal (y no de este blog), y que está basada en mi experiencia en el sector. Por tanto, la considero tan buena o mala como la de cualquier otro profesional del sector y no como una verdad absoluta.

Si hablo de este tema, es porque últimamente en España está bastante de moda desacreditar los certificados y certificaciones, muchas veces sin haber llegado a plantearse ni siquiera cursarlas. Y es que, como dijo Julio Camba hace muchos años, la envidia del español no es conseguir un coche como el del vecino, sino conseguir que el vecino no tenga coche. Esto, por desgracia, se puede aplicar al mundo de las certificaciones. Hay de muchos tipos, al igual que hay muchos tipos de profesionales, los cuales pueden llegar a necesitar formación adicional. Por esto, no entiendo que existan críticos acérrimos. Cada una debe de tener su público, sus virtudes y sus defectos propios.

Muchas veces he escuchado eso de "tener certificaciones no aporta nada" y, puede ser verdad, no voy a ser yo quien diga lo contrario. El problema es encontrar la causa de por qué no le ha aportado nada. Tal vez esa persona haya cursado una certificación que no era la correcta para él, tanto por el contenido, como por el nivel. O, tal vez, ha sido su empresa quien le ha pagado una certificación que ellos necesitaban, sin tener en cuenta el interés del empleado. O incluso, puede que el formador no estuviera a la altura del curso. Puede ser, y en esos casos, como coordinador y profesor de una certificación como soy, no me quedaría más que aceptar mi parte de culpa y pedir disculpas. Pero lo que no creo que sea bueno, es decir a la gente que no se certifique, que no les va a valer de nada y que son un simple negocio, porque eso no es cierto. Por mi experiencia personal, sé que son tan válidas como otras opciones formativas y de autoaprendizaje. De hecho, mi primer trabajo, lo obtuve gracias a que tenía una certificación y a que alguien consideró que tener a alguien certificado en su organización, sería positivo para un proyecto.

Es cierto que hay un porcentaje de profesionales de este sector que "no necesitan" ningún tipo de certificación. Ellos mismos, a partir del conocimiento que trasmiten, son su propio aval. Profesionales de la talla de cr0hn o Pablo González, por poner gente del sector de sobra conocidos por todos los lectores de Flu Project, son un gran ejemplo de lo que os acabo de transmitir. Cómo todo en esta vida, también es cierto que hay otro pequeño porcentaje de personas que, en el momento en el que hablan por segunda vez, sabes que nada bueno puede salir de ahí... , pero a ellos no me referiría en ningún momento como profesionales, y mucho menos, de nuestro sector. 

Más allá de requerimientos de certificaciones en pliegos públicos o en RFPs de organizaciones privadas (algo muy habitual hoy en día), las certificaciones pueden llegar a sernos de utilidad a todos en algún momento de nuestra vida profesional. Es habitual, que cuando empezamos a trabajar en el mercado laboral y necesitemos demostrar que tenemos algún conocimiento en la materia, las certificaciones pueden ser importantes para ayudar a despuntar frente a nuestra competencia por un puesto laboral, o para cualquier otro tipo de candidatura. Y es que, no nos olvidemos, que muchas veces, quienes tienen la última palabra en las contrataciones no son personas técnicas, como cr0nh o Pablo González, por no cambiar el ejemplo, sino que quienes tienen la decisión final, pueden ser personas que poco se preocupen por el conocimiento y experiencia del trabajador, y solo se preocupen de que sean (o aparenten ser) los mejores y los más baratos. <Mente del seleccionador>Es simple, si alguien ha sido capaz de aprobar una certificación que está creada por un grupo de expertos del sector, debería de ser capaz de hacerlo bien a nivel profesional</Mente del seleccionador>. Cierto es que, hecha la ley, hecha la trampa. Son vox populi los casos de fraude en el OSCP en la India, y es más que probable, que no los contemos únicamente con los dedos de una mano ...

Nos guste o no, mientras no cambiemos esto, va a ser algo con lo que siempre nos encontremos. Por ello, no está bien desacreditar el trabajo de otros profesionales, sino que es necesario tener clara la utilidad de las distintas certificaciones y certificados dentro del mundo de la seguridad. Cómo dijeron de la popular compañía de VTCs, la ciberseguridad es un mundo muy amplio y hay sitio para todos...

Leer más
    email this       edit

2019/12/02

Trazando aviones y barcos a través de radares online

Por Juan Antonio Calles el 2019/12/02 con 0 comentarios
Buenas a todos, en el post de hoy me gustaría listaros algunas páginas de radares online para trackear los movimientos de aviones y barcos en todo el mundo. Estas páginas son muy útiles en algunos campos muy concretos, pero en ciberseguridad se suelen mostrar en los cursos de OSINT porque quedan "guay", y acaban decorando además las pantallas (a más grande mejor...) de muchos SOCs. Es bien sabido que la realidad es otra, y que aportan poco en los proyectos de ciberinteligencia que venimos abordando las empresas en general que nos dedicamos a esto (excepto pequeñas salvedades, como en el ámbito militar, policial, etc. pero por eso he matizado "empresas"). Podríamos pensar en temas muy rebuscados, como en las estafas del CEO que suelen realizarse aprovechando que un directivo está a lo largo de un gran viaje en avión y no tendrá posibilidad de ver su buzón de email durante varias horas, y queremos saber "por dónde va", pero insisto en que son casuísticas muy rebuscadas.

Independientemente de ello, lo prometido es deuda, así que os listo algunos de los radares más molones de Internet :)
















En Google encontraréis decenas de estos sitios web. Ha surgido mucho negocio alrededor de estos datos, e incluso hay suscripciones a APIs bastante potentes, que nos permitirán absorber todos estos datos tratados y realizar todo tipo de queries de búsqueda. Si os gusta la materia, aunque sea a nivel de hobby personal, hay bastantes curiosidades alrededor de esta información.

Eso es todo por hoy, hasta mañana!
Leer más
    email this       edit

2019/11/29

Analizando la existencia de perfiles con Checkuser y Namecheckr

Por Juan Antonio Calles el 2019/11/29 con 0 comentarios
Buenas a todos, en el post de hoy continuaremos el artículo de ayer donde lo dejamos, y hablaremos sobre 2 nuevas opciones para chequear la existencia de perfiles concretos en determinadas redes sociales y sitios web de Internet, para labores de inteligencia:

La primera que veremos es Checkuser:


Este sitio web, siguiendo la senda que venimos revisando, tiene una interfaz muy simple en la que únicamente nos preguntará por un nickname, y automáticamente, nos devolverá el listado de redes sociales y sitios web ocupados:


En una búsqueda simple, hemos analizado los perfiles ocupados por "fluproject", dando el siguiente resultado:



La segunda utilidad que hoy quería enseñaros es Namecheckr:


Aunque no cuenta con tantas redes en sus análisis, su funcionamiento es más ágil y actual, y de un golpe visual rápido comprobaremos qué redes están siendo utilizadas por nuestro objetivo.



Pues bien, eso es todo por esta semana. Herramientas como estas encontraréis muchas por Internet, por lo que es cuestión de que probéis varias y seleccionéis 2 o 3 con las que os sintáis más cómodos. Siempre es importante validar los resultados con un mínimo de 2 fuentes, recordemos que en Inteligencia no nos podemos fiar de una única fuente de información.

Saludos!
Leer más
    email this       edit

2019/11/28

Analizando la existencia de perfiles con namechk.com

Por Juan Antonio Calles el 2019/11/28 con 0 comentarios
Buenas a todos, en muchas ocasiones, durante las tareas de ciberinteligencia, tendremos que localizar a personas u organizaciones en diferentes sitios web y redes sociales, con el fin de rastrear nueva información que nos pueda aportar valor a las investigaciones. Para esta labor, existen diversas herramientas que queremos iros desgranando poco a poco en Flu Project. Hoy, os hemos traído una herramienta online gratuita que funciona muy bien y que podréis encontrar bajo la siguiente URL:


El servicio se llama Namechk, y su funcionamiento es tan sencillo como poner un nickname, y pulsar sobre el botón de buscar. Inmediatamente, nos indicará las redes sociales y sitios web donde se encuentre registrado el ente en cuestión:



Con esta información localizada rápidamente, podremos utilizar otras herramientas para poner foco sobre las redes sociales y sitios web concretos y seguir alimentando nuestra base de datos de conocimiento de la investigación.

En próximos posts os hablaremos de más herramientas similares y veremos como integrar los resultados de todas ellas para mejorar los resultados en nuestro trabajo.

Saludos!
Leer más
    email this       edit