25 noviembre 2016

BLACK FRIDAY EN FORMACIÓN ONLINE DE SEGURIDAD INFORMÁTICA CON SECURÍZAME



Por estas fechas, una de las costumbres americanas que parece que se han instaurado en España es el Black Friday, que hace que podamos encontrar buenos chollos en determinados sectores, sobre todo relacionados con tecnología.

Si hay algo de lo que me siento especialmente contento, a lo largo de los cuatro años y medio de trayectoria y vida que llevo con Securízame, son los cursos online que ofrecemos. No sólo por lo especializado del contenido, sino por la gran calidad y profesionalidad de los profesores que los imparten. 


Tipología de cursos

En esta web podrás encontrar cursos clasificados en las tres principales ramas dentro de la seguridad informática: Hardening, Análisis Forense y Hacking Ético. Dentro de cada categoría podrás acceder a cursos completos, o a módulos sueltos, que ofrecemos como cursos independientes de un tiempo más reducido. Si buscas el curso de Reversing y Exploiting en Windows y Linux, lo podrás encontrar bajo la categoría de Hacking Ético.

Además, disponemos de ofertas específicas en Pack, que involucran módulos de diferentes cursos, agrupados por temáticas, o que consideramos que son complementarios unos con otros. 

En caso que quieras personalizar tu formación, tienes la posibilidad de solicitárnoslo mediante Pack a tu medida

Diferencias con otras ofertas formativas

En Securízame, las horas de duración que indicamos de un curso, son las horas REALES de video ofrecido, sin contar con el tiempo que tú dediques a poner en práctica los conocimientos. Quiero dejar esto claro, porque en otras ofertas formativas, el tiempo total de curso ofertado, tiene en cuenta las clases en video, y "un tiempo estimado" para realizar las prácticas. En Securízame, no sabemos cuánto tiempo vas a invertir en practicar lo aprendido, por lo que preferimos no aventurarnos a dimensionar un tiempo "estimado", sino que preferimos decir el número de horas de lo que realmente ofrecemos. 

'LA' Oferta

Al igual que hicimos el año pasado, en Securízame, los cursos online, especializados en seguridad informática, en 2016 no sólo repetimos oferta, sino que la ampliamos a un 20% de descuento (oferta no acumulable a otros descuentos). Para ello, introduce BLACKFRIDAY2016 en el campo código promocional del curso o los cursos que desees.



Esta oferta está disponible únicamente para todos aquellos alumnos que se registren a lo largo del día de hoy, 25 de Noviembre de 2016, de 00:00 a 23:59 en horario peninsular de España, a cualquiera de los cursos online disponibles en la web https://cursos.securizame.com/cursos, bajo las categorías Hardening, Hacking, Forense y Pack. Para que la oferta se mantenga, es imprescindible que el pago del curso se lleve a cabo a lo largo del día de hoy, ya sea mediante tarjeta bancaria (crédito o débito), Paypal o Bitcoins. 

Si a día de hoy no te viene bien realizar ninguna de nuestras formaciones, no hay problema. En Securízame los cursos no tienen una fecha de inicio determinada, sino que puedes comenzar cuando tú quieras. Sólo tienes que registrarte y hacer el pago con el código promocional BLACKFRIDAY2016, y especificarnos cuándo la quieres empezar. Tendremos todo el material listo para cuando nos lo digas.

Hoy es el día más barato del año para tu próxima formación en Seguridad Informática. 

Más de 500 alumnos diferentes han confiado hasta ahora en nosotros y muchos de ellos se han animado a dejarnos su testimonio

https://cursos.securizame.com/cursos



Leer más...

22 noviembre 2016

Sec/Admin: El evento de seguridad de Sevilla




Para los que no conozcáis este evento (lo cual es difícil dada la gran difusión que ha ido haciendo la comunidad y algunas empresas sobre el mismo), se trata de un congreso de seguridad que se celebra en la capital hispalense a finales de año, y que en 2016 celebra su tercera edición este fin de semana.

Tuve la oportunidad de participar en 2015, con una charla sobre peritaje forense, y puedo decir que me lo pasé muy bien. Tanto los asistentes como la organización hacen que merezca la pena participar.

Este año además cuentan con un montón de actividades innovadoras, no limitándose únicamente a charlas y talleres, sino además incluyen un CTF, una sección que han denominado artillería, de manera que quien quiera pueda exponer herramientas de seguridad que haya desarrollado.

Otra de las secciones nuevas es la llamada "de arte digital", que permita demostrar la creatividad que cada uno lleve dentro, usando arduinos, raspberries, etc,... 

Para que los que somos más veteranos podáis rememorar vuestra niñez, en el área FSociety quieren traer máquinas recreativas con juegos de los antiguos, de los de echar "5 duros" y pegarte una tarde completa.

Como viene siendo habitual, gracias a "Hacking Solidario", habrá una sección con charlas destinadas a niños y mayores, cuya finalidad es conseguir comida para llevar a Banco de Alimentos.

Habrá además una zona dedicada al recruiting, por lo que quienes asistáis y estéis en búsqueda activa de trabajo, llevaos el CV actualizado y formaréis parte de la bolsa de trabajo de diferentes empresas que patrocinan el evento.

Como estrella invitada al evento, cabe destacar la participación de Richard Stallman, que dará una charla sobre Software Libre, el sábado 26 de Noviembre de 12:00 a 14:00.

Sin duda es un evento de seguridad que no debes perderte si quieres aprender, hacer networking,... y conocer a Richard Stallman!!!

Este año no me será posible asistir, pero a aquellos que vayáis, estoy seguro que disfrutaréis de un evento genial en Sevilla!

Tenéis toda la información sobre el evento en la web de SecAdmin https://www.secadmin.es/
Leer más...

24 octubre 2016

Torneo de desarrollo seguro de software y Hackathon de CyberCamp 2016

Este año, durante el evento CyberCamp 2016 de INCIBE que tendrá lugar en León del 1 al 4 de diciembre, se celebrarán dos competiciones de seguridad para desarrolladores y apasionados de la seguridad:
Debido a que las fechas iniciales de cierre del registro de ambas competiciones está próximo, y con el objetivo de que aquellos que puedan estar interesados no desaprovechen la oportunidad, este artículo detalla las fechas relevantes, objetivos, motivaciones, posibles ventajas de participar (intentando ser realista), detalles internos del backstage, y algunas novedades (al final del artículo) que espero animen a aquellos que aún se lo están pensando... ;)

Fechas de registro

Respecto a las fechas relevantes, el proceso de registro del Torneo permanecerá (inicialmente) abierto hasta el 28 de octubre, y el registro del Hackathon estará abierto hasta el 1 de noviembre a las 23:59 (CET). En ambos casos, si no se completan todas las plazas disponibles, el registro permanecerá abierto con posterioridad a estas fechas para admitir a los rezagados (pero yo no me arriesgaría... ;).

A día de hoy todavía hay plazas disponibles para ambas competiciones, por lo que, si estás dudando en participar, lee las novedades más abajo, anímate y regístrate a través de la página web oficial de ambas competiciones (donde también se dispone de las bases de participación). ¡Prepárate para ganar la competición y conseguir los premios disponibles!

Motivaciones y posibles ventajas de participar

El principal motivo por el que nos hemos involucrado en ambas iniciativas desde DinoSec es, por un lado con el Torneo, concienciar y difundir la necesidad de que se genere código más seguro, e intentar hacerlo realidad empleando una nueva aproximación a través de la gamificación. Por otro lado con el Hackathon, disponer de la oportunidad de promover proyectos y herramientas de código abierto que sean de utilidad para la comunidad, ya que todos los que estamos en ella, hemos utilizado con éxito este tipo de herramientas a lo largo de nuestra vida profesional y actividades diarias. No es frecuente  disponer de la posibilidad de abordar estas dos problemáticas localmente, dentro de España.

Creo que la importancia de las herramientas de seguridad se refleja en la ley que acuño ya hace unos años Joshua Wright (@joswr1ght), un buen amigo, gran profesional e investigador de seguridad. Wright’s Law: "Security doesn’t get better until tools for practical exploration of the attack surface are made available", es decir, "La seguridad no mejora hasta que no hay disponibles herramientas para la exploración práctica de la superficie de ataque".



El Torneo pretende hacer hincapié en uno de los problemas fundamentales que afectan a las tecnologías y entornos informáticos en la actualidad, la generación de código inseguro o con vulnerabilidades. Esta es sin duda la raíz de muchos de los problemas que sufrimos en la industria de seguridad informática y tecnológica hoy en día, con numerosas vulnerabilidades, muchas de ellas críticas, publicadas cada semana.

Por este motivo, los lenguajes o entornos de programación objetivo de este año son los habituales en entornos empresariales y corporativos, y dónde se sustentan muchas de las aplicaciones y servicios de grandes empresas que usamos en el día a día: Java (Spring), Java (Enterprise), C# .NET (Webforms), C# .NET (MVC) y Ruby on Rails.

Tan pronto se llevó a cabo la publicación del Torneo, recibimos mensajes por parte de empresas, tanto del sector de la seguridad como de otras empresas de renombre españolas de varios sectores, interesadas en identificar a los mejores participantes de la competición. Más que nunca, hay necesidad de cubrir la carencia de desarrolladores y programadores concienciados e interesados por la seguridad.

Por tanto, si conoces a desarrolladores inquietos y con ganas de seguir aprendiendo y evolucionando, en este caso en el mundo de la seguridad, no dudes en comentarles que esta es su oportunidad de destacar.

Este interés no es novedad, ya que se presentó igualmente el año pasado (y de nuevo este año) con el Hackathon de CyberCamp 2015, dónde empresas del sector de la seguridad mostraban su atracción por los mejores clasificados. Participar no sólo te permite mostrar tus habilidades y conocimientos, sino también tu pasión e interés por la seguridad y por contribuir a la comunidad.

Por tanto, creo que la participación en ambas competiciones puede tener un impacto directo en la carrera profesional, actual o futura, de los participantes, tanto promocionándose y obteniendo mayor visibilidad y relevancia dentro de su empresa, como a la hora de empezar a trabajar o de encontrar nuevas oportunidades laborales. Eso sin considerar toda la experiencia real que se obtiene durante la competición en unas pocas horas o días.



En el caso del Hackathon, las herramientas propuestas por los participantes pueden aplicar a cualquier área relacionada con la seguridad que sea de su interés. Por un lado, es una oportunidad perfecta para colaborar en una de las herramientas de código abierto de referencia para tareas de ingeniería inversa y exploiting, como Radare, especialmente teniendo a Pancake (@trufae) en el jurado ;) Por otro lado, tras publicar por Twitter que se llevaría a cabo el Hackathon también este año, un buen conocido y persona relevante en el mundo de la seguridad web, Simon Bennetts (@psiinon), reflejó su interés a la hora de recibir contribuciones para su herramienta OWASP ZAP, uno de los proyectos estrella (o flagship) de OWASP en la actualidad.

El Hackathon puede ser una muy buena oportunidad para dar visibilidad a ese nuevo proyecto o idea, o contribución a herramientas ya existentes, que tienes rondando tu cabeza hace algún tiempo, y es sin duda la excusa perfecta para intentar llevarlo a cabo en un entorno competitivo, trabajando individualmente o en equipo, y pasándolo bien. Eso sí, esperamos que no se quede ahí, por lo que "El Hackathon debería ser sólo el comienzo…".

Para mi ha sido muy reconfortante este año recibir comentarios directos de algunos participantes del pasado año, enfatizando lo bien que se lo pasaron y saber que estaban haciendo todo lo posible para planificarse, cuadrar fechas, y poder repetir.

En el siguiente enlace web podéis ver los proyectos tan interesantes que participaron en el Hackathon del pasado año: https://cybercamp.es/cybercamp2015/actividades/hackathon.html

Este año, de nuevo, es para mí un honor contar con un jurado de lujo, que (aunque no todos me lo han dicho directamente) seguro estará encantado de recibir mejoras en sus herramientas de seguridad (por ejemplo, por si no se os ocurre qué herramienta elegir), como Radare (ya mencionada previamente), Delorean o Tinfoleak, entre otras ;)

Asimismo, las herramientas del Hackathon centradas en entornos industriales podrán ser incluidas en una futura distribución Unix realizada por INCIBE con enfoque en esta temática (ver detalles más abajo).

Adicionalmente, los participantes del Hackathon del entorno universitario que lo soliciten podrán conseguir un total de 2,1 créditos ECTS superando los hitos y criterios definidos por el jurado durante la competición del Hackathon. Como estudiante, ¿se te ocurre una mejor forma de obtener créditos que compitiendo y pasándotelo bien, a la vez que aprendes?

Desplazamiento

Para facilitar el desplazamiento (ya que sin duda es un aspecto importante a tener en cuenta), se va a disponer de un descuento con Renfe de un 35% para aquellos que vayan a asistir a CyberCamp 2016. Cuando se confirmen los participantes, se enviará el código de descuento.

Alojamiento

Para facilitar la participación, disponemos de novedades respecto al alojamiento de los participantes para ambas competiciones, detalladas a continuación.

Torneo de Desarrollo Seguro de Software

El Torneo, novedad en CyberCamp, es una competición individual en la que los participantes, tanto desarrolladores y programadores profesionales como estudiantes o entusiastas de la programación, podrán demostrar sus conocimientos y habilidades a la hora de programar, evaluar y generar código seguro, mediante la resolución de múltiples retos de seguridad.

Como novedad, la organización facilitará alojamiento gratuito a los participantes seleccionados del Torneo final en CyberCamp 2016.

Hackathon

El Hackathon es una competición por equipos centrada en el desarrollo y/o mejora de herramientas de seguridad de código abierto. Los participantes, tanto profesionales de seguridad como desarrolladores, estudiantes o apasionados de la seguridad, deberán exprimir al máximo sus conocimientos y habilidades, y competir con su equipo (o individualmente), tras enviar su propuesta basada en la herramienta de seguridad de su interés.

Como novedad, la organización proporcionará alojamiento gratuito a los participantes seleccionados para el Hackathon durante los días de duración de la competición.

Asimismo, este año cabe destacar que se dispone de un apartado orientado hacia los entornos industriales, donde los participantes podrán desarrollar herramientas específicas para sistemas o entornos de control (SCADA) y probarlas en una plataforma real con instrumentación industrial diseñada específicamente para este fin. Los elementos que componen la plataforma son variados (PLC, HMI, firewall industrial, switch, analizadores de red, etc.) y el tráfico generado será el propio de las redes de control (modbus, profinet, OPC, etc.). Todos los participantes que se interesen por esta temática recibirán con antelación información adicional sobre la arquitectura de la plataforma industrial a utilizar en el evento. Como distinción adicional, los mejores proyectos de esta temática podrán ser incluidos en una futura distribución Unix realizada por INCIBE y enfocada a la seguridad de entornos industriales.

  



Espero que todos estos detalles os animen a tomar la decisión de participar y que nos podamos ver en alguna de las dos competiciones durante CyberCamp 2016.

Contribución por Raúl Siles
Leer más...

06 octubre 2016

Ya están aquí #8dot8 de Chile y Bolivia!



Una vez más por estas fechas se celebra uno de los eventos en los que mejor me lo paso: Se trata de 8.8, el evento de seguridad más conocido en el sector de la seguridad de Chile. Este año será su sexta edición, en la que tendré el honor y el placer de participar, por cuarto año consecutivo.

Este año, al igual que en ediciones anteriores, el plantel de compañeros y temáticas a tratar tiene una pinta excelente. Hay charlas sobre (in)seguridad de smart cities, ATMs, biohacking, HTTP2, análissi forense,... Por mi parte iré con "Memorias de un Perito Informático Forense Vol. III" en la que hablaré de tres casos de peritaje que me tocó atender, obviamente con algo de salseo al buen amigo @Holesec (que se encontrará por allí :D). Este año, como representación española, estará con nosotros Eduardo Arriols, que precisamente será uno de los ponentes que den una charla sobre smart cities. Como siempre, un gran evento en el que conocer a nuevos compañeros y asistentes, así como una excusa para volver a reunirte con amigos como Holesec, Maxi SolerJaime Dragonjar y todos los componentes de la organización de uno de los eventos que, para mí, tiene un significado y valor especiales.




Desde Chile, nos daremos el salto unos cuantos a Bolivia, a la segunda edición del mismo evento, en la ciudad de La Paz, en la que también participé el año pasado. Exceptuando unos pocos ponentes, un alto porcentaje de las charlas serán las mismas que el evento con el mismo nombre en Santiago.  




Desde Security By Default, queremos regalar dos entradas para cada uno de los eventos. Para ello tendrás que dejarnos un comentario en este post indicándonos de la forma más creativa que se te ocurra el por qué quieres asistir al mismo. Recuerda indicarnos si quieres postular a una entrada para la edición de Bolivia o la de Chile! Necesitaremos que nos indiques tu twitter y/o tu correo electrónico para que la organización pueda contactarte.

Sólo aceptaremos un mensaje por persona y evento. El sorteo lo realizaremos 3 días antes del inicio de cada evento, por lo que no te esperes a última hora para participar o puede que no llegues.

Espero veros en Chile y en Bolivia una vez más!



Leer más...

20 septiembre 2016

15 segundos


Este articulo no pretende ser de carácter técnico, ni novedoso, todos los detalles de comunicación con los vehículos están más que accesibles en Internet y cualquiera puede documentarse para conocerlos. Solo es una prueba de concepto que muestra, que la seguridad en el software y hardware en la automoción sigue igual que a finales de los 90 cuando realicé mi primer acercamiento a las comunicaciones entre dispositivos en la Automoción.

Este tema daría para mucha, mucha más literatura, para los que ya se han introducido en este mundo encontrarán a faltar detalles técnicos, pero sólo se ha simplificado en diagonal el concepto de Inseguridad que existe en esta tecnología. Existe mucha documentación fácil de obtener y con todo tipo de detalles, interfaces, y software para iniciarse en este campo.

Los sistemas de hardware y software para aplicaciones de automoción son cada vez más complejos, el que existan multiples fabricantes dificulta la coordinación sobre todo a nivel de normativas de seguridad y buenas prácticas.
En los últimos años han aparecido normas de automoción como la  ISO 26262, que se publicó en noviembre de 2011, y que ofrece a todos los fabricantes un mecanismo común para medir y documentar la seguridad de un sistema de automoción. 
Fue creada específicamente para la producción de automóviles, la norma ISO 26262 proporciona una serie de pasos para gestionar la seguridad funcional y regular el desarrollo de productos a nivel de sistema, hardware, desde el desarrollo conceptual hasta el final de su vida útil.
La realidad, es que a pesar de que gracias a Hackers como por ejemplo Charlie Miller que se dedican a reportar problemas de seguridad, los fabricantes  empiezan a ser sensibles al respecto, pero sensibilidad no es suficiente. Desde al menos 1999-2003 es posible realizar este tipo de ataques, cierto es, que en aquellos tiempos no estaban los vehículos conectados a Internet, pero sí se podía acceder a las unidades de control como ahora, en aquel entonces usaba un portatil y mediante RS232 accedía a la red del vehículo pudiendo interactuar con él como veremos más adelante. 

Imagen cable que usaba en 2002, todavía en uso.

Todos los fabricantes de vehículos tienen desarrollado un Hardware/Software especifico para diagnosticar sus vehículos, todos los concesionarios y talleres disponen de este hardware para poder acceder a todas las unidades de control, bien para simplemente diagnosticar fallos en el sistema, o por ejemplo programar un juego de llaves nuevas, ajustar valores, probar elementos, realizar chequeos, eliminar los indicadores de la revisión del aceite, borrar averías, activar o desactivar funciones. En el "underground", las mafias de exportación de vehículos emplean estas técnicas para reducir kilómetros en los cuadros de instrumentos y cosas menos ilegales como re-programar la unidad de control del motor para ganar unos caballos de potencia extra, jugando con los márgenes de rendimiento que se guarda el fabricante.

En el siguiente vídeo sólo veremos como es posible acceder a la electrónica del coche aprovechando un descuido del usuario del vehículo, que permitirá al atacante, colocar nuestro "troyano" que posteriormente  dará acceso al coche y sus todas sus funcionalidades.
Colocar el "bicho" en el vehículo para controlarlo de forma remota. (pequeño dispositivo que mediante bluetooth nos permitirá tener acceso a las unidades de forma remota).
La tecnología ha permitido reducir el tamaño y eliminar el cable para acceder al coche)

Imagen 1. Dispositivo a colocar en el vehículo.

Imagen 2. PinOut conector de diagnosis.


Imagen 3 Conector de diagnosis ubicado en el vehículo dónde conectaremos nuestro dispositivo.

En las siguientes 2 imágenes veremos la ubicación del conector en dos fabricantes





En las siguientes imágenes veréis el conector "con" y "sin" nuestra "garrapata" en uno de los coches en los que he realizado las pruebas..




Cada unidad de control tiene su identificador y sus peticiones específicas, con sus respuestas, es bastante cuadrado y fácil de ver cuando te pones en ello.

Pero cambia mucho dependiendo del fabricante, no todos usan el mismo protocolo. El acceso a la unidad de control de Motor sí que se ha estandarizado bastante, y es muy fácil acceder a los parámetros a tiempo real de cualquier motor fabricado desde mediados de los 90.

Con un simple interface que podéis montaros vosotros mismos como este, podréis iniciar las primeras conversaciones con vuestro coche que funcionarán bajo el protocolo ISO 9141-2 que principalmente es usado por  la mayoría de fabricantes Asiáticos y Europeos y os permitirá acceder a la unidad electrónica de vuestro motor.


Interface ISO41




Fragmento de parámetros leídos a tiempo real de la unidad de control de un motor gasolina de BMW

Detalles de la trama
Para el resto de unidades de control como Airbags, ABS, Multimedia, Cierre centralizado, Cuadro de Instrumentos, Dirección, Climatización, Navegación, Sensores Parking etc, en la mayoría de fabricantes de utiliza el protocolo CAN BUS

Podréis iniciaros por ejemplo con este adaptador  USB Can BUS que cuesta unos 25$.

USB can BUS adapter

Ejemplo de CAN DATA FRAME


En el video anterior vemos como hemos accedido al cluster (cuadro de instrumentos), lanzando una cadena de comandos secuenciales para actuar en todos los elementos del cuadro.

En el siguiente vídeo vamos a ver como accedemos a otra unidad de control encargada de la activación y desactivación del control de Tracción, un elemento de seguridad  que evita muchos accidentes, a pesar de tener algunos modelos un botón de activación/desactivación se podría realizar un ataque persistente para tenerlo desactivado siempre.




En el siguiente vídeo se puede ver como se accede a la unidad de control de la climatización del un coche..



Para obtener el resultado que hemos visto en los vídeos anteriores, inicialmente capturamos las peticiones legítimas del Hardware oficial del fabricante, para posteriormente poder reproducir las peticiones y obtener los mismos resultados está vez de forma remota mediante bluetooth.

La seguridad en la automoción "moderna" no ha madurado a pesar de haber cumplido sobradamente la mayoría de edad, como todas las tecnologías, hay que ponerlas a prueba para detectar problemas de seguridad que ayuden a mejorarlas. Además, con la tendencia al alza de conectar el vehículo a internet en los modelos más recientes, aumentan los vectores de ataque y cada vez hay más unidades de control para las nuevas funcionalidades, cámaras, sensores de aparcamiento, frenada automática, los Auto-Pilots ,etc...

Queda demostrado de nuevo lo fácil que es acceder a las redes de comunicación interna de los coches.

Como la mayoría de las tecnologías, también se pueden usar para hacer el mal, y no hablaríamos de perdidas de datos, potencialmente estaríamos hablando de perdidas de vidas humanas, como decía al principio.

La seguridad implementada por defecto en la automoción, necesita un empujón, deben de igualarse los avances tecnológicos implementados en los coches con la seguridad que requieren.

Desde mi punto de vista no debería de ser tan fácil acceder a estas unidades de control, se han fabricado dispositivos de conexión OBD de todos los formatos y para todas las marcas de automóviles, basta con buscar por ejemplo en Aliexpress por OBD y veréis como por menos de 5 Euros hay dispositivos OBD que a través de bluetooth te van a permitir acceder a la unidad de control de motor para poder leer estados, parámetros, posibles averías, e incluso permite la interacción de poder borrar las averías y los "Service Checks" de los cambios de aceite.

Los hay más avanzados y con funciones más específicas como el clonar mandos y reprogramar llaves OBD KEY programmers  o KITS muy específicos que te permitirían arrancar coches de alta gama evadiendo todas las medidas de seguridad.

La triste situación actual, es qué, con unos pocos euros y con solo saber leer, puedes acceder a tu coche y establecer una conversación fluida con él. Y no importa cuanto te gastes en tu coche, es más probable que mientras más de alta gama sea, más posibilidades tengas de ser hackeado.

Vigila tu conector OBD, al menos, como las entradas USB de tu ordenador personal.

Os imagináis un "Rubber Ducky"  pero en este caso "RubberOBD"?

Un "bicho" autónomo, con las instrucciones ya aprendidas de casa, para que por ejemplo active el ABS cuando el sensor de giro detecte que estas en una curva.... Ficción?? realidad????

O por ejemplo también, aprovechando que los vehículos empiezan a incorporar frenada de emergencia al detectar objetos en la trayectoria del coche, el PatoOBD  podría frenar el vehículo enviando por CANBUS el comando suplantado que activa la frenada, incluso podría hacerse cuando el vehículo circule a una velocidad determinada, el PatoOBD estaría leyendo los datos referentes a la velocidad del vehículo, y cuando alcance la velocidad X, nuestro PatoOBD inyecta el comando de activación de la frenada de emergencia, Menudo susto!!!!


Cierto es que en la vida real, es muy poco probable que te coloquen un dispositivo de este tipo sin que te des cuenta, pero no falta mucho para que los fabricantes quieran entrar en la red de sus vehículos de forma remota, bien  para  realizar actualizaciones o para recoger estadísticas de uso, y todos sabemos que si el fabricante es capaz de hacerlo, también los malos podrán.

Estamos en los inicios de la era de los coches conectados, a pesar de que el porcentaje es muy bajo todavía, en unos años van a dar mucho que hablar..

Todo está por hacer, si su ciclo de vida evoluciona como el resto de tecnologías, se irán parcheando los problemas según se detecten, tal y como funciona casi todo lo tecnológico hoy en día.

Ya es bastante tarde para empezar desde 0.

15 segundos es el título de la entrada por este vídeo que seguro ya visteis en su momento.
El vídeo no tiene mucha visibilidad ya que el coche tiene el volante a la derecha, pero 'los malos' acceden al conector de diagnosis, colocan el interface, y posiblemente después desactivan la alarma para posteriormente acceder al inmobilizador del vehículo para programarle otras llaves. ( con sólo el "transponder" bastaría) una vez abierto el coche se lo llevan en escasos 15 segundos evadiendo todas las medidas de seguridad de en este caso un flamante Audi RS4. (80.000-90.000 Euros)

Este es un ejempo de como aprovechan los malos las debilidades existentes en la industria de la automoción.




Keep Hacking!!!!


Info de Interés

Leer más...

12 septiembre 2016

Regalamos 5 entradas para #Dragonjarcon 2016




La última vez que estuve en Colombia, fue en 2015, justamente para participar en un  evento organizado por Jaime Restrepo, de la comunidad Dragonjar: El DragonjarCON. En esa ocasión fue en la encantadora ciudad de Manizales, en el que tuve el placer de impartir un taller de Seguridad en Entornos Corporativos y la charla "Cooking an APT in the paranoid way".  

De hecho, y como suele ser habitual en las conferencias a las que he asistido en Latinoamérica, os conté aquí cómo fue la experiencia

Esta semana, el 17 y 18 de Septiembre, tendrá lugar la tercera edición de este evento, esta vez en Bogotá, al hotel NH Royal Metrotel Bogotá, en el que será sin duda todo un éxito.

Contarán con grandes ponentes y amigos, como Hugo Bayona, Mateo Martínez, Jose Pino, Álvaro Andrade, Sheila Berta, Alejandro Hernández, Jocsan Laguna, Rafael Bucio, el propio Jaime Restrepo.... y además como representación española va Pedro Candel!

Puedes registrarte en el mismo en la página del evento: https://www.dragonjarcon.org/

Este año no podré asistir a este evento Desde Security By Default, así como en otras ediciones, queremos colaborar con el evento regalando 5 entradas para el acceso al mismo. 

Para ello, sólo deberás dejarnos un comentario indicando por qué te mereces una entrada completamente gratuita para asistir a este fantástico evento. Seleccionaré las respuestas más creativas de entre las que dejéis. La fecha máxima para participar es el viernes 16 de Septiembre a las 23:59 en horario peninsular español (GMT+1)


Recuerda hacer mención a tu twitter o correo electrónico para que en caso que seas uno de los seleccionados, puedan comunicarse contigo.

Como bases del concurso, que sepáis que SOLO regalamos la entrada al evento.  No está incluido el viaje a Bogotá, ni la comida, ni los gastos de lo que hagas por allí. Por ello, te pediría que si participas en el concurso, es porque o vives en Colombia o te planteas viajar por tu cuenta a disfrutar del evento. La entrada es personal e intransferible, por lo que se la daremos al titular de la cuenta twitter/correo que dejes en tu comentario.

Espero vuestra participación!
  


Leer más...

08 agosto 2016

Evento solidario de seguridad #1Hackparaloschicos




El próximo 26 de Agosto se celebrará en la ciudad Argentina de Córdoba, en concreto en el Colegio Universitario IES, la cuarta edición de #1hackparaloschicos, una jornada con charlas y talleres de seguridad informática, con fines benéficos. La organización de #1hackparaloschicos, la componen los conocidos Maxi Soler y Carlos Garay, y en ediciones anteriores han participado grandes ponentes y amigos como Gustavo Presman, Gustavo Ogawa, Cristian Amicelli, Marcelo Temperini, Maximiliano Macedo o mi criminóloga favorita, Laura Quiñones.

En esta edición participan, entre otros, los chicos de @infoasegurarte (Marcelo y Maximiliano) y se estrena Gabriel Franco, a quien pude conocer en la 8.8 en Chile, de la mano de mi "siempre bien recordado" Claudio Caracciolo.



La finalidad principal del evento es la recogida de alimentos para ayudar a la ONG "Un litro de leche por mes". 

Se trata de un evento, muy al estilo de #X1RedMasSegura o #HackingSolidario que tenemos en España, y para el que se aceptan donaciones de leche en polvo, leche larga vida, cacao, alimentos para desayuno y/o merienda que irán destinados a la Fundación "Un litro de leche por mes", antes mencionada, a nombre de #1hackparaloschicos.

La información relacionada con el evento la podéis encontrar en:
Por supuesto podéis seguir a @1hack en twitter para estar enterados de las últimas novedades.

De haber estado en Argentina, sin duda habría sido un placer el poder participar en una iniciativa de estas características, que sirva para ayudar a los que menos tienen.

Estoy seguro que esta cuarta edición será aún más sensacional, así que no dejéis de ir, y de donar!
Leer más...

03 julio 2016

Enlaces de la SECmana - 325

Leer más...

23 junio 2016

Curso PRESENCIAL de Análisis Forense de Dispositivos Móviles





Una de las mayores demandas que tengo desde el punto de vista de peritaje y análisis forense, se centra en la actividad de smartphones. Os pongo casos reales: “mi marido me espía y creo que me ha metido un troyano en el móvil”, “necesitamos extraer la actividad de whatsapp del empleado X en el teléfono de empresa”, “la custodia de mis hijos depende de que se puedan evidenciar las amenazas que he recibido por parte de mi ex en el teléfono”, “a mi hija la acosaban por el chat de instagram”, etc,… 

Al final, el smartphone es uno de más de la familia, y como pongo de ejemplo muchas veces: se nos puede olvidar el tupper con la comida en casa, y lo solucionamos comiendo fuera y cenando en casa el tupper, pero si se nos olvida el móvil, volvemos a por él… y debido a la alta interacción (e incluso dependencia) que tenemos con él, es por lo que el dispositivo es portador de tantísimas evidencias, que pueden suponer que la moneda caiga de nuestro lado, en un proceso judicial.

Por otra parte, en Securízame, como muchos sabéis, este año hemos comenzado a impartir cursos de formación presenciales. Empecé con uno de Hardening de Sistemas GNU/Linux y ahora estamos terminando una serie de cursos de Python (para sysadmins, avanzado y para pentesters)



Con la idea de satisfacer la demanda que soléis sugerirme sobre formación, es que el viernes 8 y el sábado 9 de Julio, voy a impartir personalmente un curso presencial de Análisis Forense de Dispositivos Móviles. Debido a la cantidad de temario que quiero cubrir, es por lo que tendrá 15 horas de duración reales, comenzando el viernes por la tarde (de 16:00 a 21:30), con un descanso a media tarde, y el sábado en modo intensivo desde las 9 AM a 21:00 PM. 

La idea es que se pierda el menor tiempo posible entre descansos y comida, por lo que TODO estará incluido en el planning: Café y refrescos para los descansos, y pizza para comer. Sólo tienes que preocuparte de ir con ganas de aprender.

Os dejo bajo estas líneas, en modo muy global, el temario que quiero cubrir:


Análisis Forense en Dispositivos Móviles

- Introducción y estándares

- Fases de peritaje de Dispositivos móviles

- Estructura de laboratorio recomendada para análisis forense de dispositivos móviles

- Análisis forense de IOS

    + Modelo de seguridad de IOS

    + IOS Internals

    + Estructuras de datos

    + Fuentes de adquisición de datos:

         - Dispositivo físico

         - Backup

         - iCloud

    + Herramientas libres de análisis de IOS

    + Artifacts de aplicaciones de usuario

- Análisis forense de Android

    + Viaje al interior de Android

    + Estructuras de datos

    + Acceso a sistemas de ficheros

    + Carving de datos

    + Los Logs en Android

    + Análisis de aplicaciones APK

    + Artifacts de aplicaciones de usuario

- Utilización de herramientas automatizadas vs. manual

    + Forense con Nowsecure Viaextract 

    + Forense con Oxygen


Si estás interesado, que sepas que a día de hoy nos quedan 8 plazas disponibles, por lo que te sugiero que no te lo pienses mucho y te registres en el siguiente enlace: 



Leer más...

22 junio 2016

Evolve: una GUI web para Volatility





Una de las primeras tareas que hay que llevar a cabo al atender un incidente de seguridad en un sistema, es adquirir el contenido de la memoria RAM. Para ello, podemos utilizar herramientas como Dumpit o Ram capture. Si utilizamos la suite de herramientas para Windows que vienen en WIN-UFO, dentro de la distribución CAINE, en su formato Live (ya sea USB o CD), además contamos con una de las herramientas favoritas de cualquier analista forense: FTK Imager Lite.

Tan complejo que puede llegar a ser la adquisición de la memoria en Linux, y tan sencillo que se hace con FTK, en entornos Windows. Le damos a un botón y se extrae un dump de la memoria en un fichero.

A partir de ahora, toca trabajo de análisis en laboratorio y a destripar la imagen con una de las mejores herramientas que hay: Volatility.

Para ello, toca pasarle como parámetro a este script hecho en python, la imagen de memoria adquirida, el perfil que indicará el sistema operativo al que pertenece el dump, así como el comando o el script que queramos ejecutar sobre la memoria. 

En esta línea, una ejecución válida sería: "python vol.py pslist -f fichero.mem —profile Win2008R2SP1x64” que nos devolvería la lista de procesos que tenía en ejecución la máquina cuando le copiamos "el cerebro”. Volatility, al estar hecho en Python, permite ser ejecutado en multiplataforma, pero siempre bajo una línea de comandos. Esto está bien, en algunos casos, pero cuando requieres trabajo en grupo, o poder procesar varios scripts sobre una misma imagen, puede ser interesante contar con una interfaz web que permita preprocesar ciertos scripts sobre la imagen adquirida, así como mostrar y almacenar los resultados. 

Aquí es cuando llega, al fin, Evolve.

Su instalación y ejecución no puede ser más sencilla:

git clone https://github.com/JamesHabben/evolve
cd evolve
python setup.py install

Para determinados plugins es necesario disponer de ciertas librerías: 

pip install bottle
pip install yara
pip install distorm3
pip install maxminddb

En el caso de mi instalación, en una distribución CAINE 7, además tuve que ejecutar pip install distorm3 —upgrade

La ejecución de Evolve, necesita varios parámetros. Entre otros, el fichero con el volcado de memoria a analizar, el perfil de Volatility correspondiente a la versión de sistema operativo al que corresponde la memoria analizada, así como el puerto en el que escuchará el servidor web por el que se publicará la información analizada de la memoria.  

 python evolve.py -w 8000 -f /opt/imagen.mem —profile Win2008R2SP1x64 


Si nos conectamos vía web a dicho servicio se nos muestra algo como lo siguiente:



En el panel de la izquierda se puede ver la posibilidad de ejecución de los diferentes plugins, que según se va terminando su ejecución el botón se transforma de run a show. 

La información procesada queda en el mismo directorio donde se encuentra el dump de memoria, en un fichero con formato SQLite, en el que se genera una tabla por cada plugin ejecutado.

sqlite> .tables
AmCache   AtomScan  Auditpol  CmdScan   PSList    PSTree    YaraScan ApiHooks  Atoms  BigPools  Cmdline   PSScan    VerInfo 

Como digo, una herramienta más o incluso una ayuda para hacer más visual el resultado que interpreta una herramienta. Sin embargo, el trabajo real lo tiene que hacer el ojo y mente humanas, que son las que realmente entienden lo que ven.


Leer más...

21 junio 2016

Anti Ransom V3

Ya ha pasado algún tiempo desde la última versión de Anti Ransom y, como es lógico, muchos correos, conversaciones y gente me ha dado sugerencias, ideas y reportado fallos.

Con todo eso en la mano, he rediseñado bastante Anti Ransom y lo he hecho evolucionar de arriba a abajo.

De entrada, primer y principal cambio: Ahora Anti Ransom es OpenSource y puedes descargar, visionar y si te apetece colaborar en el código fuente del proyecto desde GitHub.

Esto ha sido posible al cambiar del lenguaje original (Perl) a Python. Perl requería el uso de PDK, una herramienta comercial que permite convertir scripts en ejecutables libres de dependencias. En el caso de Python, lo he cambiado por Pyinstaller.

El siguiente cambio ha sido dejar de utilizar handle como herramienta para listar ficheros abiertos. Eso evita seguir teniendo que descargar en cada instalación dicho programa. Queda como dependencia Procdump, pero ya estoy valorando ideas para eliminar dicha dependencia.

El módulo psutil de Python tiene una interesante función llamada open_files() que lista los ficheros abiertos de cada proceso. Personalmente era bastante escéptico, pero una vez implementada una rutina basada en ella, tengo que decir que el resultado ha sido excelente. Todas las muestras que he usado han sido detectadas con bastante celeridad, superando con mucho la rutina anterior que usaba handle

Otro tema que inquieta mucho a la gente son los falsos positivos. A lo largo de estos años mucha gente me ha enviado correos al respecto. Para abordar este tema, de entrada, durante la instalación se deshabilita y detiene el servicio de indexación de Windows, causante de la mayoría de falsos positivos.

Además, ahora Anti Ransom ya no decide por si mismo eliminar un proceso, te permite decidir a ti lo que quieres hacer


Evidentemente, el gap de tiempo que hay entre que tú decides y el proceso muere, puede suponer que tu HD quede cifrado o no. Por eso, lo que hace AntiRansom es suspender el proceso potencialmente malicioso y lanzar el popup, de esa forma, mientras decides, tu HD sigue a salvo. Si le dices 'Go', el proceso se des-suspende y sigue con normalidad y si le dices stop, el proceso muere dejando tras de sí un dump de su memoria en la que puedes 'escarbar' y tratar de encontrar la(s) clave(s) que ha usado para cifrar los ficheros.

Además, ahora Anti Ransom es multi-hilo, de forma que, si encuentra un proceso sospechoso y lanza el popup, lanzará a la vez otro hilo que sigue monitorizando. Por tanto, si un malware ha lanzado 10 procesos, los 10 van a ser detenidos casi a la vez, independientemente de que estés frente al PC para pulsar 'Stop'. Cuando vuelvas, verás los 10 popups y todos los procesos maliciosos estarán suspendidos.

Otro cambio importante es la interfaz gráfica. Ha mejorado bastante al emplear QT como motor gráfico y sobre todo gracias al precioso logo que me han regalado :)


La versión ya compilada y lista para ser instalada se puede descargar desde aquí. En poco tiempo actualizaré la página principal del proyecto, con capturas y vídeos
Leer más...