Seguridad en aplicaciones Web. El caso de Julián Moreno

Hola a tod@s!

He de confesar que me ha encantado. Cómo condensar N horas sobre formación en seguridad en aplicaciones Web? Contando una historia!!

Pues eso es lo que me he encontrado al leer el blog de Gonzalo Álvarez Marañón.

Gonzalo asistió  como ponente en la II Jornada STIC CCN-CERT. Su charla se basó en explicar de una manera clara y concisa todo lo relacionado con los ataques Web. Ya sabéis, SQL injection, XSS, Phishing, manipulación de parámetros, etc, etc.. En 30 minutos!!

Y es que el pájaro este es un crack. Se inventa un personaje (Julián Moreno), una historia con tintes verídicos (Ventas por Internet), y un contrato con una consultora (Creación de tienda virtual). Y se monta una historia chulísima! Con permiso de Gonzalo, me voy a tomar la libertad de poner aquí la presentación, ya que me ha encantado. Me encantan las historias!

Por otra parte, me comenta Gonzalo que alguien grabó el evento, el cual está colgado en YouTube en 8 bonitas partes. 

Os recomiendo que la veáis. A mi, personalmente me ha encantado.

En otro orden de cosas, tengo cuasiterminado un post dedicado al blog de Gonzalo, el cual tengo que decir, me está ayudando muchísimo en mis labores de “presentador”. Me he visto reflejado en varios de sus post, y me he reido bastante de mi mismo al darme cuenta de esos fallos de “concepto” que cometo a dar alguna charla. Así que ya os hablaré de él dentro de poco.

Chapó Gonzalo y gracias por tus historias!

Referencias:

http://elartedepresentar.com/2008/11/28/no-muestres-datos-cuenta-historias/

http://elartedepresentar.com/2008/12/04/el-video-de-seguridad-en-aplicaciones-web/

http://www.iec.csic.es/~gonzalo/

FamilyBlogs=FamilyBlogs+1

Bueno, bueno…. Ya era hora de actualizar esto.

Parece que tengo un claro en el camino, así que lo voy a aprovechar para terminar de escribir varios post que tengo subidos, pero no terminados. Ya hay gente que me ha dado un tirón de orejas por no escribir todo lo que debería. También me han comentado que parece ser que Internet ha dado un bajón considerable de audiencia, debido principalmente a que he dejado de escribir. Como no quiero que la audiencia de Internet se vaya a otro medio más informado que éste, como puede ser… no sé… La TV?, reconozco públicamente mi responsabilidad para con este blog e Internet, y a partir de ahora escribiré con mucha más regularidad. Yo, mi, me, conmigo…

Después de estas interesantísimas palabras, vengo a comentaros algo que para mi fue una grata sorpresa en cuanto lo supe.

Mi colega Pedro, que este año tuve el placer de conocer. De hecho, una de mis primeras palabras con él fue en una charla de análisis de Logs. Estuvimos jugando con LogParser + BBDD en Access para la recolección, a lo que uno preguntó, Y esta opción para qué es? Yo, anonadado, dije: Pues no tengo ni !@## idea! Pedro, raudo como el viento, no sólo dijo para qué servía, sino que además me “regaló” unas estadísticas preciosas que se podían hacer con la herramienta.

Este pájaro, curra en la Asociación Técnica de Cajas de Ahorros, y da gusto escucharle cuando se pone a hablar de análisis forense y Phishing. Dentro de poco, si Dios quiere, liberará una tool muy chula, pero eso dejaremos que nos lo cuente él, ya que me ha prometido que escribirá un post sobre ello, el cual colgaré en el blog.

Si ya me tenía contento con la Tool, la cual tuve el placer y gozo de ver en directo manejada por él, me encuentro con otra grata sorpresa, y es que ha comenzado otra etapa de Bloguero. El blog en cuestión se llama ConexiónInversa, y en él, se tratan temas muy interesantes. Temas relacionados con Malware, Phishing, y como no, Análisis Forense. Un gustazo de lectura!! Y en ezpañó!!

Así que sin más dilación, os dejo con la lectura de este Blog. Y, de nuevo, bienvenido a la FamilyBlogs!

Saludos a tod@s!

Ahora sí hablamos de Windows 7

Como siempre, cada vez que una compañía saca un nuevo sistema operativo, otro equipo empieza  una labor nueva, que es la de innovar el nuevo sistema operativo, para en un futuro sacar una versión posterior.

Pasa con casi todo el Software del mercado. Y es bueno para muchas cosas. Empleo, innovación, arte, etc…

Con Spectra no iba a ser menos, y el ciclo de vida de muchos productos se acaba, y el de otros empieza. Tenemos a Windows XP, que empezó allá en el año 2001, y que el soporte extendido se le acaba en el 2014, con lo que todavía le queda una parcelita en el podium de los Sistemas Operativos. Más de 13 años de soporte. Eso es tiempo para plantearse una migración!

http://support.microsoft.com/lifecycle/?p1=3223

Con Windows Vista pasa algo parecido, empezando el ciclo de vida en el año 2007, y retirando el soporte extendido en el año 2017, si la cosa no cambia.

http://support.microsoft.com/lifecycle/?p1=11737

Los Service Packs también tienen su roadmap, pero la fecha de lanzamiento puede diferir dependiendo de muchos factores, como que haya que asegurar la compatibilidad, estabilidad y seguridad, elementos que se han cuidado mucho en estos últimos años.

http://www.microsoft.com/windows/lifecycle/servicepacks.mspx

Todo esto es para una serie de sistemas operativos, pero, qué pasa con la nueva generación? La que se está gestando?

Pues no tengo ni puta idea, pero me figuro que empezarán lanzándose bulos, como todos los que hemos escuchado hasta ahora. Que si Windows7 esto, que si Windows7 lo otro, que si sale el año que viene, etc… Pero desde Spectra, nada de nada. Algún que otro vídeo del Surface y poco más.

Así que dos de los ingenieros de Spectra responsables de Windows7, Jon DeVaan y Steven Sinovski, han creado un blog llamado E7, abreviaturas de Engineering Windows7.

http://blogs.msdn.com/e7/

Ahora sí, especulaciones aparte, se puede hablar de Windows7

Saludos!

Otro más…

Hola a tod@s!!

Ya llegan las cervecitas en la terracita, la playita, estara hasta tarde en la calle con el fresquito, y las niñas wapas!!

Pero también llegan otras cositas, otras cositas que dan mucho que pensar a locos como yo. Como sabréis, se ha puesto muy de moda esto de los decálogos de seguridad. Un “gurú” de la seguridad, desea implantar su “decálogo” de seguridad en equipos Windows. Porque claro, tienen que ser 10 por cojones. No 9  ni 90, sino 10. Porque yo lo valgo….

La “investigación” la tenéis aquí. Como podréis observar, se ha realizado de forma exhaustiva, con rigor absoluto, consultada por expertos en la materia, y cotejada bajo la atenta mirada de fieles usuarios a…. Spectra…

Hay cosas tan interesantes como esta…

Analizar con uno o dos antivirus actualizados TODO archivo que provenga del exterior

Y ahora digo yo… Si TODAS las casas de Antivirus desaconsejan el uso de más de un antivirus en el sistema operativo… No sé, quizás porque se reservan memoria para ejecutar de forma controlada algunos archivos, o porque instalan drivers que operan a nivel de Kernel, o porque incluso pueden encontrar en el “adversario” una acción como un ataque directo al sistema (por ejemplo la instalación del driver)…. No sé, es bueno para el sistema operativo? No mermaría la PRODUCTIVIDAD??

Creo que Virustotal no está haciendo una buena labor de Márketing… Sergio!! Díles a esta gente quiénes sois!!

También hay cositas tan interesantes como….

Navegadores: no usar Internet Explorer. Los demás navegadores no son la panacea de la seguridad, pero al menos no son vía de entrada de adware y spyware. En todo caso, es recomendable navegar con los scripts desactivados, salvo en aquellas webs en que sean imprescindibles. Hay herramientas que ayudan a facilitar esta tarea, como la extensión “No Script” de Firefox.

Yo sé que Pedrito aquí me va a matar pero lo tengo que decir….

Quién dice que IE es la puerta de entrada para Malware y Adware? Acaso no sabéis, queridos hamijos, que existe una cosita llamada servicio de ActiveX en Vista? Acaso no sabéis controlar las ZONAS SEGURAS de Internet Explorer? Las políticas de seguridad os suenan de algo? No sé, pero por si acaso, os pongo la guía de seguridad de IE7.

http://www.microsoft.com/downloads/details.aspx?FamilyID=6AA4C1DA-6021-468E-A8CF-AF4AFE4C84B2&displaylang=en

Y esta perla, me encanta….

Seguridad inalámbrica: si no se quiere compartir la conexión adrede, es imprescindible el cifrado WPA con una buena contraseña. El filtro MAC complementa esta medida.

Los chicos de SeguridadWireless seguro que se están descojonando…. Oye… Y digo yo… Y si sniffo la red y me cambio la MAC?

Pero le falta algo…. No sé, hay algo que falla en todo esto… me explico….

Si aplicamos TODOS estos puntitos con el mismo rigor que fue escrito… Yo (Y cualquier usuario) podría…

a) Instalarme el Emule y compartir todo mi disco raíz

b) Parar los N antivirus que tuviese

c) Descrifrar el disco duro

d) Quitar todas las políticas de IE

e) Cambiarme la MAC por esta que está más guapa DE:FE:CA:DE:FE:CA

f) Instalarme un Sniffer

g) Sacar la password del que ha escrito este “Decálogo de rigor”

e) Robar sus fotos

f) Conectarme de forma remota a su Ubuntu infranqueable

g) Instalarle un troyano

e) Instalarle un Rootkit para ocultar rastros

f) Ponerle como fondo de pantalla esta imagen, o en su defecto, esta otra

g) Descojonarme viendo el fondo de pantalla

h) El crusaito…

i) El Maikel Jacson

j) Borrar las copias de seguridad

k) Hacerme las mías propias

l) Montar una botnet

m) Redirigirl la máquina a un repositorio “especial”

Etc, etc…

Y cómo se puede hacer esto, queridos hamijos que con “tanto rigor” escribís? Pues por lo visto, se ha olvidado una pequeñísima norma en materia de seguridad. Vamos, nada del otro mundo. A cualquier “Gurú” seguro que se le pasaría. Un principio… No un principito, un PRINCIPIO. El Principio del mínimo privilegio.

Este “Decálogo” es mucho mejor que éste. Ya hablamos aquí de estos “consejos”….

Os dejo con el documento de aplicación del principio del mínimo privilegio!

http://www.microsoft.com/downloads/details.aspx?FamilyId=6A1291E7-9ECD-4D5D-9EEB-308C5D522E14&displaylang=en

Por cierto…. Creéis que podremos llegar hasta la Z? Se os ocurre algo?

Saludos!!

Formación técnica en seguridad y auditoría

Hola a tod@s!

Algunos de mis compis y yo, hemos decidido formar un “grupo de música”. Os cuento detalles….

 

 

• Idea: Formación en “música”
• Tiempo: 6 semanitas o 150 horitas. Junio y Julio
• Realización de la formación: Eminentemente práctico

 

Los temarios que se impartirán en el curso serán los siguientes:

 

Música estridente y ensordecedora

• Partituras: Protocolos, Análisis de servidores, ataques a aplicaciones Web, Vulnerabilidades de código, vulnerabilidades en configuraciones, vulnerabilidades en S.O., spoofing en comunicaciones, sniffing de comunicaciones, ataques combinados, DOS, DDOS, ataques MITM, ataques VOIP, inyección de comunicaciones, malware en general, LDAP injection, inyecciones SQL, ataques WEP/WPA, etc, etc…
• Instrumentos: La cabeza e instrumentos comerciales y gratuitos. (Nos reservamos demos y juguetes internos!)

Como este tipo de música puede “romper” tus oídos, hemos pensado en aderezar la “formación en música” con estos temas…

 

Prevención a la rotura de tímpano, sordera total, etc…

• Realización de buenas partituras: VPN, sistemas de cifrado SSL, conceptos de auditoría, auditorías de caja blanca/caja negra, fuentes de información, detección de malware, fortificación de servidores, fortificación de código, análisis de seguridad server/client, herramientas de análisis de código, Firewalls de aplicación, cifrado y autenticación, IPSEC, etc, etc..
• Instrumentos: La cabeza e instrumentación comercial y gratuita

Y si llegados a un punto, algún tipo de música ha hecho que te sangre el oído u otra enfermedad equivalente, completamos la “formación en música” con…

 

Análisis forense

• Análisis de las notas: Captura de datos, buenas prácticas, cadena de custodia, análisis forense de Logs, análisis forense Online de Malware, análisis forense Offline de Malware, Análisis de memoria RAM, búsqueda de estructuras, análisis forense de S.O., realización de informes, etc, etc…
• Instrumentos: La cabeza e instrumentación comercial y gratuita

 

Quienes estaremos

• Solista: Chema Alonso: MVP Windows Server Security. Este solista está especializado en “saturar” notas musicales. Ha dado multitud de conferencias a lo largo de este país y fuera de él. Últimamente lo hemos podido ver por las conocidas conferencias de seguridad BlackHat. Lo conoceréis más en su blog http://www.elladodelmal.com
• Bajos: Juan Luis García Rambla: MVP Windows Server Security. Sabe este hombre algo de redes y comunicaciones? Por ahí le llaman el “interceptor”. Este hombre se entretiene capturando y manipulando conversaciones y comunicaciones, modulando la voz, etc, etc.. Un excelente aliado si quieres conocer arquitectura de sistemas operativos, y todo un maestro en técnicas de auditoría forense. Tened cuidado con lo que “conversáis” si estáis cerca de él… Podéis saber más de él visitando su blog, http://legalidadinformatica.blogspot.com
• Guitarra: Alekusu o Alejandro Martín, alias “el pensante”. Muchas veces lo veo sentado pensando cuál va a ser la próxima prueba que se va a sacar de la manga para el siguiente reto hacking, y creador de muchas de las herramientas internas de auditoría de seguridad que utilizamos.
• Batería: Pedro Laguna, alias “La Pedra” como amistosamente le llamo yo. Se dedica principalmente a “romper de forma legal” las Webs que le vamos asignando. Así que cuidado con dejarle la vuestra.  Avisados estáis. Su blog es http://www.equilibrioinestable.com
• Teclados: Yo, alias Juanillo, alias “el trianero”, al que si leéis lo que vomito en el blog de vez en cuando o me conocéis de alguna auditoría o alguna formación, ya sabréis algo de mí, y sí, prometo contar el verdadero chiste del pavo.

Asi que…. Te animas a tocar con nosotros?

Formación técnica en seguridad y auditoría informática

 

Saludos a tod@s!!

No House? I hack

Hola chicos!

Hace tiempo me enviaron un mail con una improvisada felicitación de Navidad. En el subject ponía lo siguiente: No vas a tener casa en la puta vida.

Hoy, me han enviado otro mail, pero esta vez con un comentario de Gandrolf, el cual se ha encontrado este bonito defacement en la http://www.mviv.es/

El chaval se ceba a gusto con el mviv, explicando su malestar por NO tener vivienda, y comentando todo tipo de injusticias que se vive en este nuestro mundo. La mejor frase es la del final, en la que dice:

Nota al administrador: Cambia el estado del portal a online en configuration.php, y todo volvera a estar como estaba.

Jaja! Y encima buena gente el chaval! Nota: La Web ya está OFFLINE.

No voy a entrar en si la Web está hecha en php, o si Joomla o Mambo es una mierda, etc, etc, etc… Eso se lo vamos a dejar al Maligno, que seguro que lo hace mucho mejor que yo. Todos los técnicos sabemos o deberíamos saber que si se configuran los sistemas (da igual cuales sean) de una manera eficiente y con cierta coherencia, podemos llegar a unos muy buenos niveles en seguridad y usabilidad. 

Pero es que esto no tiene nombre. Hemos entrado en la Web del ministerio, por si hay alguna noticia, y no hemos visto nada. Como tenemos una vista muy mala malosa, alguien ha mirado el código fuente…. Y todos nos hemos descojonado….

H4ck3d by d3 Z4p4t3r0 Ch40s

Y ahora me pregunto yo….

Arreglo cutre por parte de la Administración o plan B para el hacker…..? 

Lo único cierto de todo esto es que No vamos a tener casa en la puta vida!

Por cierto, si queréis ver todo el texto, lo tenéis aquí

Saludos!

alcolea-party 2007

En alcolea del río se va a celebrar una gran party dedicada a las tecnologías. Entre los ponentes se encuentran los siguientes:

Gospel hablará de seguridad en su especialidad. La tecnología móvil.

Seguridad Mobile: amenazas en teléfonos móviles y Smart Phones

ANELKAOS y Rh3nth0n hablarán sobre la nueva LiveCD para auditorías Wireless. El LiveCD se llama WifiSlax y uno de sus paters es el gran HWAGM, responsable de SeguridadWireless y miembro activo de el foro elhacker.net

El infame Chema Alonso y el PP (Padre Parada) nos hablarán de seguridad en Windows Vista.

Y el menda hablará sobre informática forense en entornos Windows, analizando desde 0 una imagen comprometida. Si da tiempo se hará tanto un análisis offline como uno online.

La agenda de la party la podéis ver aquí y el cartelito un poco más abajo.

1Saludo!

Más información sobre el DRM de Windows Vista

Esta vez de la mano de Ethelcilla

http://blogs.msdn.com/ethelcilla/archive/2007/02/14/que-han-dicho-qu.aspx

Segundo Reto hacking del maligno

Lo dicho señores. Mr Maligno ha sacado el segundo reto hacking, que consiste en administrar un sitio Web.

Las malas lenguas dicen que hay 4 fases, y que ya hay gente que va por la 3ª….

Tenéis más información en el blog del Maligno.

http://elladodelmal.blogspot.com/2007/02/retohacking-ii.html

Url del Reto

http://retohacking2.elladodelmal.com/

Solución al primer Reto Hacking

http://elladodelmal.blogspot.com/2007/01/solucin-al-1er-reto-hacking-web-por.html

Url primer Reto

http://www.informatica64.com/retohacking/

1Saludo!

Reto Forense III

Ya están en la Web de la UNAM de México los resultados del reto forense de este año.
Después de algunos problemas técnicos y de tiempo, por fin han liberado los resultados de este reto.
Aprovecharé en estas semanitas y subiré al blog un tutorial íntegramente en español que hablará de la informática forense y algunos de sus entresijos. Este paper sustituirá al antiguo, el cual está aquí.
Por cierto… aunque no me he comido nada en el reto de este año… Quedé el 5º!!
Tanto el reporte técnico como el reporte ejecutivo, lo podéis descargar desde aquí

Informe Ejecutivo

Informe Técnico

Y la lista de los ganadores de este año… Aquí