Desde la UPM llevan celebrando las TASSI (Temas Avanzados en Seguridad y Sociedad de la Información) desde febrero de este año, en lo que es ya su novena edición, a razón de una pequeña charla de hora y media cada quince días.
El pasado 17 de abril tuve el honor de participar en una de estas clases y ya se pueden ver el vídeo en el canal oficial de Youtube la Universidad Politécnica de Madrid.
La conferencia era una introducción a los conceptos y ámbito de la explotación de vulnerabilidades en un test de intrusión. Porque se hace este tipo de actividades y alguna demostración sencilla de cómo funcionan.
No es el único, y todos los anteriores también han sido publicados. También están las presentaciones y materiales de otros años anteriores en el histórico que mantienen en la página web.
Dejo aquí todos los de la edición 2013 a falta de un par que estarán muy pronto en el mismo sitio.
Cuando hablamos de TOR, es bastante frecuente encontrarse con la pregunta de ¿Y cómo detecto si una IP proviene de TOR? Normalmente asociada a conexiones web.
En realidad, saber si una IP proviene de un nodo TOR es relativamente sencillo y no requiere magia de ningún tipo.
El propio proyecto TOR te explica como hacerlo y ofrece un montón de ejemplos para hacerlo desde múltiples lenguajes de programación (Python, PHP, Perl ...)
Por si no fuera poco, la lista de nodos TOR es pública y se puede consultar desde esta URL.
Pensando desde un punto de vista forense, tal vez sí echo a faltar herramientas que permitan analizar el contenido de un fichero de logs Apache e indique cuales de esos accesos provienen desde una red TOR.
Como no he encontrado nada que me haya convencido, decidí hacer mi propia implementación.
Cuando me puse a ello, tenía dos opciones posibles: O bien me iba a las consultas DNS (como en los ejemplos antes mencionados) o lo hacía de una forma un poco diferente.
Creo que es poco óptimo el ir IP por IP del fichero de log y lanzar una consulta DNS, así que pensé que era mejor descargar la lista completa de nodos TOR, parsearla para obtener la IP y comparar con lo que iba encontrando.
Para ejecutarlo, tan solo toma como parámetro el fichero de log a analizar.
$ python parsetor.py access_log
Cabe señalar un matiz: Si en el momento en el que se realiza el análisis el nodo TOR no se encuentra activo, no aparecerá, así que cuanto más frescos sean los datos, más oportunidades hay de tener un resultado más fiable
Para aquellos afortunados estudiantes que terminan su último año de carrera y están empezando a buscar trabajo, en el mundo de la seguridad hay una gran demanda. Con esta entrada vamos a ver algunos trucos para encontrar un hueco.
No voy a comentar nada sobre el formato, apariencia o errores típicos del CV. Eso lo dejamos para otro día. Tan solo mencionar algunos consejos y opciones, que posiblemente a muchos candidatos les sean útiles.
No hay duda de que el portal por excelencia en España para buscar empleo es Infojobs, aunque no es el único y existen otros como Tecnoempleo. También hay otros menos populares, como Michael Page, donde se buscan perfiles técnicos con más experiencia, mandos intermedios o alta dirección.
En cuanto a infojobs, una característica que personalmente uso bastante es la búsqueda mediante palabras clave, por ejemplo "OWASP", o "OSSTMM", o incluso alguna certificación "CEH", y a partir de los resultados, añadir a las RSS todas las ocurrencias, de tal forma que cada vez que se añada un nuevo puesto con alguna de estas búsquedas, me cree una entrada nueva en el lector. Del ejemplo anterior, si se busca por "CEH", la URL de la feed será: https://www.infojobs.net/trabajos.rss/kw_ceh/
Búsqueda en Infjobs: botón de añadir a RSS
Otra alternativa es ser un pesado, ser un pesado siempre funciona. Son las matemáticas de los grandes números. Si mandas 12 millones de correos de spam, alguno cuela. En este caso es lo mismo. Mandar vuestro resumen a todo aquel que tenga alguna relación con seguridad. Una buena técnica es usar el catálogo de empresas que mantiene el Inteco y que además permite filtrar las compañías por la actividad a la que se dedica. De estas compañías, podréis mandar vuestro currículum visitando cada una de sus páginas y localizando los buzones típicos de "trabaja con nosotros". Además, esto tiene la ventaja de que puedes añadir un mensaje personalizado para la compañía concreta que mostrará tu interés por integrarte en su plantilla.
Catálogo de empresas de Inteco: filtrando por categoría.
También hay sitios como el blog de 48bits que mantienen secciones de trabajo, donde tanto empresas como candidatos pueden ponerse en contacto.
Sección "Jobs" de 48bits.
Por último, estar en listas de correo de seguridad también suele funcionar, cada poco tiempo mandan correos con ofertas y si además participas en la lista, pues aprenderás y enseñarás al resto y te darás a conocer. No nos engañemos, este sector es muy muy pequeño y al final casi todos nos acabamos conociendo. El mejor ejemplo de lista de seguridad, que sigue viva y el ambiente es envidiable, es la lista que hay en torno a la RootedCon, tan solo hay que mandar un correo a: rootedcon-subscribe@listas.rooted.es
Autor:
Lorenzo Martínez
15 mayo 2013
[
06:32
]
2
comentarios
Sucedió hace unos meses, cuando recibo un whatsapp, el método de comunicación universal desde hace unos años hasta ahora, del gran Pepelux. Me comentaba que si me apetecía participar como ponente en la próxima edición de la Conectacon, que se realizaría en Jaen, el 9 y 10 de Mayo. Entre que no sé decir que no, y que la crónica que nos mandó de la primera edición tenía una pinta envidiable, acepté encantado la propuesta. Según fueron pasando el tiempo y me fueron poniendo al día del resto del cartel, sabía que me lo pasaría genial junto a un montón de amigos, esta vez de España.
Mi compañero de viaje en tren a Jaen, fue el genial y dicharachero Juan Garrido "Silverhack" con quien llegamos, entre risas, a la estación. A los pocos minutos, apareció en la estación el comité de bienvenida, formado por los organizadores Antonio Cruz y Raimundo Alcázar, "el presi y el vice", para recogernos. Desde este minuto (e incluso en días previos) hasta el día de hoy, la hospitalidad y el trato por su parte ha sido inmejorable. En todo momento, estuvieron pendientes de los ponentes, ofreciendo lo que fuese necesario para asegurar nuestra comodidad.
Después de dejar el equipaje en el hotel nos llevaron a una cena de bienvenida en la que no faltó la cerveza y la comida en abundancia, siempre precedida de unos cuantos platos de olivas de la zona. Dejando a un lado discusiones puntuales con algún "elemento", el ambiente de la cena fue espléndido, dando lugar a multitud de "situaciones inexpugnables en el camino del guerrero con herramientas low cost" (internal joke) que perdurarán en la cabeza de los asistentes durante, espero, muchos años.
Jueves 9 de Mayo, comienza la Conectacon!
Tras una breve charla de inauguración por parte del Vicerrector de TIC de la Universidad de Jaen y Antonio Cruz (como presidente de la Asociación EnRed 2.0) tuve el honor de ser el primer ponente. En este caso, el tema de la charla fue "Análisis forense de IOS con herramientas Low Cost", en el que hablé de diferentes herramientas, tanto comerciales como libres para analizar y presentar los datos que se pueden extraer de un dispositivo con IOS (ya sabéis, el sistema operativo de los iCacharros), así como liberar una herramienta que, próximamente, pondré a disposición del público lector de Security By Default.
La siguiente de las charlas fue a cuenta de los geniales Pepelux y Juan Garrido, que nos contaron de una forma bastante amena, y muy alarmante por cierto, las interioridades de la red Tor, las aberraciones que esconde la Deep Web y un montón de estadísticas extraídas en base a los resultados devueltos por herramientas desarrolladas por ellos mismos, con fines académicos e investigativos, para llevar a cabo clasificaciones respecto a los tipos de páginas encontradas. Ambos investigadores trabajan con total transparencia ante los cuerpos y fuerzas de seguridad del estado, cediendo incluso el fruto de su trabajo al Grupo de Delitos Telemáticos de la Guardia Civil, a fin de ayudar, en la medida de lo posible, contra algunas de las ilegalidades que se puedan encontrar en la Deep Web.
La siguiente charla, venía de la mano de uno de los profesionales más encantadores, carismáticos y apreciados por mí, de todo el panorama español de este sector: el bilbaino afincado en Asturias, Dabo. Atención al título de su presentación: "Seguridad y optimización, el camino del guerrero hacia la paz interior del GLAMP". Esta ponencia, tenía la peculiaridad de ser una demo continua, y el ponente habitual de los "podcasts con voz de locutor", explicó en vivo, con conexión directa a servidores en la nube diferentes herramientas para optimizar la ejecución y proteger la integridad de los datos alojados en servidores LAMP. Sin duda, la charla fue todo un éxito, puesto que la profesionalidad de Dabo en su día a día en Apachectl, así como su amplia experiencia, son garantes de ello.
Lamentablemente, no pude quedarme a verla completa puesto que Raimundo Alcázar "el vice", me llevó corriendo a los estudios de radio de Canalsur Jaen, en los que nos esperaba una locutora de un programa local, que quiso concienciar sobre seguridad a sus oyentes, con Raimundo y conmigo. Podéis escuchar el corte del fragmento de la radio a partir del minuto 12 en Hora Sur Jaen de Canal Sur Radio
Según llegamos de vuelta, ya se encontraba en el escenario Jose Selvi, autor del blog de seguridad Pentester.es hablando de "Offensive Man-in-the-middle". Este gran profesional mostró de una forma muy comprensible para todos los públicos, las posibilidades de ataques que se pueden llevar a cabo en situaciones Man-in-the-middle. Habló de herramientas tan potentes como the middler, por supuesto el conocido y utilizado framework Metasploit, en el que Jose implementa habitualmente sus propios scripts.
Por la tarde, se llevaron a cabo dos sesiones de dos talleres diferentes: "Análisis Forense en entornos Windows" por parte de Juan Garrido; y "Hacking web" por Pepelux, Dani Kachakil y Roman Medina, que fueron muy bien valorados según la crítica de los asistentes.
Cabe destacar el gran despliegue de repercusión mediática conseguida por Raimundo Alcázar, que dejó claro que a un movimiento de un dedo, Jaen se vuelca con él.
Mientras transcurrían los talleres, una unidad móvil Canalsur Televisión, se acercó a la Universidad de Jaen, y realizó una entrevista al propio Raimundo y a Jose Selvi, en la que explican los peligros de privacidad que esconden los dispositivos móviles. Bajo estas líneas podréis ver el corte del programa que ha hecho público la organización de Conectacon. Por cierto, que encontraréis a algún actor extra que os resultará conocido :D
Una vez terminada esta jornada, nos llevaron al hotel, y tras una merecida ducha, la organización nos obsequió con una opípara cena junto a los patrocinadores del evento.
Viernes 10 de Mayo: Día 2
El encargado de dar comienzo a la segunda jornada fue Daniel Medianero. Arrancó con pequeñas modificaciones con el título inicial de su charla "Desarrollo Inseguro en Android". Por aquello de adaptarlo a la terminología utilizada en el evento, lo sustituyó por "De cómo tu aplicación Android no es tan inexpugnable como creías y cómo puedes descubrirlo siguiendo el camino del guerrero utilizando herramientas low cost"… (sí, como bien podéis imaginar, lectores, hubo momentos repetitivos de cachondeo entre nosotros con esto de las herramientas low cost, la inexpugnabilidad y el camino del guerrero… a lo largo de los dos días de jornadas). Dani nos contó, e incluso demostró, cómo utilizando aplicaciones de Android existentes, que disponen de permisos "de más", otras programadas con malas intenciones, se pueden aprovechar de dichos permisos extra de las anteriores, para fines no previstos inicialmente.
El siguiente ponente fue Alejandro Nolla que habló sobre diferentes vulnerabilidades existentes en diferentes servicios CDN, y cómo mediante su explotación, resulta posible, en algunos casos, atacar de forma directa a los clientes que dicen proteger. Esta charla tuvo un componente importante de arquitectura de redes, que es un tema que personalmente me motiva bastante, por lo que puedo decir que me resultó especialmente interesante.
Como cierre de fiesta, Dani Kachakil, uno de los integrantes de la representación española en CTFs a nivel mundial, del grupo "Int3pids", dejó con la boca abierta a todos los que asistimos a su charla, en la que detalló la resolución de 16 pruebas de criptografía que había recopilado de diferentes lugares, y que por supuesto, había resuelto. Estoy seguro que todos los asistentes nos quedamos con la sensación de decir: menudo crack es este tío!!! Si bien es cierto que muchas de las pruebas son "solucionables" con herramientas existentes (no sé si serán low cost o no ;D), hay otras en las que predomina la idea feliz por encima de todo y quedas en estado de shock analizando los procedimientos explicados por Dani.
Por lo demás, ha sido un placer compartir un par de días con el resto de los ponentes y amigos, aprender de las charlas y disfrutar de la increible hospitalidad de Raimundo Alcázar y Antonio de la Cruz. Felicitar a Juan Cobo y Pedro Barrio, también de la organización del evento, por el apoyo mostrado y el trato brindado, que han hecho de este evento, unos días inolvidables.
Una lástima que la única nota discordante del evento, el único lunar, haya venido dado precisamente por otro miembro de la organización, que parece no aprender de errores pasados, no siendo capaz de dejar de lado sus fobias personales, intentando predisponer al mal rollo a una gran comunidad de personas.
Quiero agradecer también a Goldrak por acercarnos a Juanito y a mí, en el inexpugnable camino de los guerreros hacia el aeropuerto de Granada, desde donde enfilamos el rumbo hacia lo que sería nuestro siguiente destino, Reus… Pero esto, es otra historia.
Volvemos a la carga con esta sección tocando un tema que suele leerse repetidamente en foros y listas de correo (la última vez en la lista rootedcon hace muy poco)
El objetivo es listar las herramientas que te pueden ayudar en la ardua tarea de analizar especímenes de malware.
Probablemente me deje muchas ya que al final esto va un poco de lo que uno conoce y más le gusta, dejamos abierta la puerta en los comentarios para que la gente añada cuantas más quiera.
Buster Sandbox Analyzer: Herramienta de 'sandboxing' que se apoya en sandboxie para analizar el comportamiento de un ejecutable, es muy cómodo de usar (se usa desde Windows, no requiere instalar otro sistema operativo) y genera unos decentes reportes.
OllyDBG: El debugger por excelencia, imprescindible para analizar cualquier pieza de malware
Veamos que plugins nos pueden resultar útiles:
Hide Debugger: Permite ocultar el uso del debugger e impide que el malware en cuestión se de por analizado
OllyDump: Útil para lidiar con packers, permite exportar un binario mientras se está 'reverseando'
Olly Advanced: Multiplexa las capacidades de Olly, lo más interesante (para este post) es la enorme cantidad de anti-anti-debuggers que trae
Immunity Debugger: Es la versión evolucionada de Olly, se puede 'scriptear' con Python lo que abre un nuevo mundo de posibilidades.
WinDBG: Otro debugger, tal vez menos intuitivo que los anteriores ( o tal vez con menos documentación y ejemplos disponibles). De él me gusta la herramienta 'logger' que es la versión Windows de ltrace en Linux
Process Explorer: De sysinternals. Una herramienta ampliamente infrautilizada con enormes posibilidades
Process Monitor: Para analizar al detalle lo que hace un proceso
Capture BAT: Herramienta para analizar el comportamiento de un binario sobre un sistema
File: Port del comando File de Linux, para identificar el tipo de fichero con el que estamos lidiando
Otra gran brecha de seguridad a un registrador de nombres de dominio. Le toca el turno a Name.com, el cual ha notificado a sus usuarios que deben reiniciar su contraseña tras detectar un compromiso en sus sistemas.
El twitter de The Onion, la empresa estadounidense que se encarga de publicar noticias de forma satírica, fue comprometido. En este post de su blog ellos mismos cuentan cuales fueron las causas, apuntando a phishings enviados a la mayoría de sus trabajadores por parte del grupo Syrian Electronic Army
La gente de Cylance, mientras realizaba un estudio de la exposición de diferentes productos relacionados con infraestructuras críticas en interner, se toparon con un BMS (Building Management Systems) de la empresa Tridium de un emplazamiento de Google, el edificio Google Wharf 7. Mediante una vulnerabilidad que descubrieron, fueron capaces de acceder como administradores a la gestión completa del edificio, y lo comentan con todos los detalles en este post.
Ha pasado ya más de un año desde que tuve la oportunidad de hablar en la rootedcon sobre criptografía aplicada, di un pequeño repaso al 'estado del arte' y presenté unas cuantas herramientas sobre el tema.
Entre ellas, hablé de SSLCop como concepto para llevar la geolocalización al mundo de de las CAs.
El concepto se explica muy fácilmente, las CAs de confianza que puedes encontrar en el repositorio de CAs de Windows, tienen un origen geográfico, hay CAs Españolas, las hay Mexicanas, Venezolanas y en general de un buen número de paises.
La mayoría de las CAs asociadas a países suelen tener un ámbito local, en general para trámites administrativos de los ciudadanos de esos países. Como resulta obvio, para una persona Argentina le resulta un lastre tener CAs de otros países que no necesita, y encima estas CAs pueden ser hackeadas para emitir certificados piratas, como ya pasó con una CA de Turquía.
Entonces, siguiendo el principio Nº1 del hardening: si no lo necesitas, quítalo lo que hace SSLcop es 'banear' las CAs en función de su procedencia.
Mientras leía las nuevas especificaciones de EMET 4.0 a nivel criptográfico, me sorprendió ver que Microsoft ha añadido a EMET funcionalidades de tipo 'certificate pinning'. Hasta aquí nada nuevo, es algo en lo que Google con Chrome lleva mucho terreno andado.
Lo novedoso es que EMET permite generar reglas de pinning basadas en la localización geográfica de las CAs, con lo que es posible definir reglas como por ejemplo que para un dominio de la administración Española, solo aceptaré certificados SSL basados en España.
Hacerlo con EMET es extremadamente sencillo, primero definimos un dominio, en este caso www.agenciatributaria.es
Y luego lo asociamos a una regla en la que decimos que solo se permiten certificados Españoles
¿sencillo verdad? Me parece una gran iniciativa por parte de Microsoft que ha avanzado en el mundo del 'pinning'
