seguro-interesa

¡Seguro que te interesa! – 17

En esta sección os dejamos las noticias que nos han llamado la atención y que consideramos te pueden ser de ayuda. Es por eso que es… ¡seguro que te interesan!

[23/01/2016] El FBI controló durante dos semanas una de las mayores páginas de pornografía infantil (Playpen) en la Deep Web, logrando detectar a más 1.300 pedófilos.

[24/01/2016] Un curioso y detallado caso de ataque social utilizando el chat de atención al cliente de Amazon WS.

[25/01/2016] Descubren una vulnerabilidad en Safari, tanto en iOS como en OS X, que fuerza (en el peor de los casos) a reiniciar los dispositivos simplemente con acceder a un sitio web.

[26/01/2016] La empresa de seguridad Core Security descubre varias vulnerabilidades críticas en la aplicación SHAREit de Lenovo para la compartición de ficheros entre dispositivos móviles, tablets y ordenadores personales.

[26/01/2016] Microsoft publica una nueva herramienta llamada Policy Analyzer que facilita el análisis y la comparación de directivas de grupo (GPOs).

[26/01/2016] Investigadores de Malwarebytes descubren una extensión maliciosa para Google Chrome llamada iCalc, diseñada para espiar los hábitos de navegación de los usuarios.

¡Feliz fin de semana!

open source security

5 Proyectos de seguridad Open Source que me han salvado la vida

… y uno que me mola muchísimo.
En la entrada de esta semana quería dejaros un listado de herramientas de seguridad open source que en algún momento me han sacado de algún problema, han hecho mi trabajo más fácil, me han resultado interesantes o me han servido para sacar adelante un reto en un CTF.

Radare2

r2logo3La primera herramienta de la os quiero hablar es Radare2. Seguramente la más conocida dentro de la comunidad hispanohablante ya que su desarrollador es .cat y es un habitual dando charlas en los diversos congresos de seguridad que tienen lugar en España.
Para los que no conozcan Radare2, se podría resumir en que es un framework para realizar ingeniería inversa. Una de las cosas que más me gusta de Radare es el soporte a arquitecturas y formatos de ficheros marcianos que otros programas de ingeniería inversa no soportan nativamente. Según su documentación:


Architectures:
6502, 8051, CRIS, H8/300, LH5801, T8200, arc, arm, avr, bf, blackfin, csr, dalvik, dcpu16, gameboy, i386, i4004, i8080, m68k, malbolge, mips, msil, msp430, nios II, powerpc, rar, sh, snes, sparc, tms320 (c54x c55x c55+), V810, x86-64, zimg, risc-v.
File Formats:
bios, CGC, dex, elf, elf64, filesystem, java, fatmach0, mach0, mach0-64, MZ, PE, PE+, TE, COFF, plan9, dyldcache, Commodore VICE emulator, Game Boy (Advance), Nintendo DS ROMs and Nintendo 3DS FIRMs.

Una de las peculiaridades de Radare2 es que está en constante desarrollo. Si te has descargado Radare2 al empezar a leer este artículo, será mejor que vayas haciendo checkout otra vez porque seguramente a estas alturas estés desactualizado. Para estar, más o menos, al día de lo que pasa en Radare2 puedes seguir el proyecto en Twitter o echar un ojo al blog de vez en cuando.

Osquery

logo-bigEsta herramienta me llamo la atención desde el momento en que la vi en acción en un taller en BruCON. Se trata de un programa desarrollado por el equipo de respuesta ante incidentes de Facebook para poder realizar actividades de live response en sistemas OS X y Linux.
Osquery nos permite realizar consultas al sistema utilizando la sintaxis de SQLite. Estas consultas son muchas veces independientes del sistema operativo, lo que permite el acceso a la información de distintos sistemas utilizando la misma consulta.
Además de la consola interactiva desde la que lanzar consultas, Osquery te permite ejecutar un servicio que va a realizar consultas periódicamente y escribir los cambios en un log que luego pueden ser procesados por un correlador en busca de comportamientos anómalos.

Loki

lokiiconLoki es un escáner simple de indicadores de compromiso (IOC). En el momento de escribir este artículo, Loki sólo soporta los siguientes tipos de IOC:

  • Nombre de fichero (expresión regular)
  • Hash de un fichero
  • Conexiones contra direcciones IP/dominios
  • Reglas YARA

Loki llama la atención principalmente por ser el hermano pequeño de Thor. Thor es un escáner de IOCs, pero esta vez no es simple y su funcionalidad es mucho mayor… pero no es open source. Aun así Thor está haciendo ruido en la comunidad DFIR por su velocidad a la hora de escanear el sistema de ficheros, característica que comparte con Loki y que hace a este más interesante.
Además, con un poquito que te manejes con python, ampliar las capacidades de Loki es realmente sencillo.

Snort/Suricata

suri-400x400Estos dos proyectos vienen de la mano ya que cumplen una misma función: Sistema de Detección de Intrusiones (IDS).
Mi experiencia usando estos dos sistemas es como IDS y como herramienta para analizar el alcance de un incidente en una red. Los dos proyectos pueden hacer los dos trabajos perfectamente, pero en el segundo caso yo prefiero usar Suricata antes que Snort.
La razón por la que prefiero usar Suricata es que permite una mayor granularidad a la hora de escribir reglas. Mientras que Snort te obliga a definir una regla sobre tráfico http como TCP, Suricata te permite definirla como http. Esto permite escribir reglas más estrictas y reducir el número de falsos positivos, lo que a la hora de encontrar comportamientos específicos en la red viene muy bien.
Snortpig_professor2(NOTA: La versión 3 de Snort ha salido hace poco y no sé si han cambiado algo en la sintaxis de las reglas, por lo que es posible que las reglas de Snort 3 permitan la misma granularidad que Suricata.)
Es importante saber que este tipo de productos requieren un mantenimiento en forma de actualización de reglas y, sobre todo al principio, invertir tiempo en la personalización de las reglas para que se adapten a tu entorno y no estén llenado la consola de los analistas de falsos positivos.

Volatility

vVolatility desde hace unos años se ha convertido en el estándar de facto en lo que a análisis forense de memoria se refiere.
Soporta múltiples tipos de imágenes de memoria, incluido soporte inicial para imágenes de Windows 10.
Tiene por detrás un gran soporte de la comunidad, lo que hace que cada cierto tiempo aparezcan plugins que extienden la funcionalidad de este proyecto. Además, escribir este tipo de plugins es relativamente sencillo si necesitas adaptar ciertas cosas para el análisis en el que estás trabajando.

DVRF

Este último proyecto no lo he probado aún, pero que estoy esperando tener un poco de tiempo libre para poder hincarle el diente: Damn Vulnerable Router Firmware (DVRF).
Es un proyecto diseñado para introducir a la gente en el mundo de la ingeniería inversa de firmware. Esta preparado para ser instalado en un Linksys E1550, pero si no tienes uno en casa puedes trabajar en ello usando Qemu.
Hasta han publicado también una pequeña guía con los primeros pasos que hay que dar para tener DVRF en Qemu.

Como veis hay muchos proyectos open source que nos pueden ayudar a realizar nuestro trabajo en seguridad sin invertir dinero en licencias. Estos son solo algunos de los múltiples proyectos que se usan día a día en seguridad, muchos se han quedado fuera (Metasploit, Bro, Cuckoo, Rekall…).
Por último, me gustaría que vosotros, lectores, compartierais los proyectos open source de seguridad que más os gusten o que os han salvado el día, ya sea ayudándoos a explotar una vulnerabilidad marciana, detectando un bicho que el antivirus no cazaba, o bastionando un sistema que tenía que estar en producción para ayer.
Además, si tienes un proyecto personal que te gustaría compartir y dar visibilidad, déjalo en los comentarios. Quién sabe, a lo mejor en una futura entrada sobre proyectos de seguridad open source puede aparecer en la lista, ¡o puede salir una colaboración con el blog!

de-charleta

De Charleta: «Cross-platform reversing with Frida» (Ole André V. Ravnås)

Siguiendo la estela de la charla de la semana pasada, esta semana os traemos otro taller de ingeniería inversa. Esta vez utilizando Frida y de la mano de su creador: Ole André V. Ravnås.
Frida es una herramienta para instrumentación de binarios que ya os presentamos en la entrada Amenaza Silenciosa III – Hooking (Teoría) y que seguramente vuelva a aparecer en el blog en un futuro no muy lejano.

Ole André V. Ravnås es investigador de seguridad en NowSecure. Es un apasionado de la ingeniería inversa y de la instrumentación dinámica, y es el creador de Frida.

No cON Name 2015.

Inglés.

seguro-interesa

¡Seguro que te interesa! – 16

En esta sección os dejamos las noticias que nos han llamado la atención y que consideramos te pueden ser de ayuda. Es por eso que es… ¡seguro que te interesan!

[18/01/2016] El FBI publica el nombre del que se cree el principal responsable de «The Fappening«. Todos recordaréis que en 2014 hubo un leak de fotos de famosas en sus momentos privados, pues parece que el FBI ha podido detener al responsable de estas filtraciones.

[19/01/2016] Abierto el registro para Rooted CON 2016 que se celebrará durante los días 3, 4 y 5 de marzo de 2016 en la sala 25 de los cines Kinépolis de la Ciudad de la Imagen en Madrid.

[19/01/2016] Yahoo paga una recompensa de 10.000 dólares a un investigador por descubrir un XSS persistente en su servicio de correo.

[19/01/2016] La startup de seguridad Perception Point ha descubierto un 0-day en el kernel de Linux (CVE-2016-0728) que permite a los atacantes realizar una escalada de privilegios de forma local. Aproximadamente el 66% de los dispositivos Android, y decenas de millones de equipos y servidores Linux están afectados por esta vulnerabilidad.

[20/01/2016] Lanzamiento de la versión alpha de Zcash, una criptomoneda alternativa a Bitcoin.

[21/01/2016] Mientras todos intentamos hacer de Internet un sitio mejor y más seguro, los políticos siguen con su lucha contra el cifrado. Esta vez se trata del estado de California, donde quieren que los dispositivos móviles sean descifrables por los fabricantes.

¡Feliz fin de semana!

Entrevista a Carlos y Sergio de Sh3llCON

Quedan dos días para que empiece Sh3llCON y sus fundadores Carlos Díez y Sergio Sáiz nos han hecho un hueco en sus apretadas agendas para contestarnos a algunas preguntas.

Antes de ir con la entrevista, me gustaría contaros por qué le tengo un cariño especial a Sh3llCON y por qué no os la debéis perder.

Lo primero, fueron los primeros en darme la oportunidad de “hablar de mi libro” para una audiencia especializada. Gracias a ese pequeño empujón que me dieron los amigos de Sh3llCON, durante 2015 me animé a presentar en otros congresos, entre ellos en BruCON.

Además de esto, las charlas son buenas, el precio es difícil de mejorar (hasta tienen descuentos para parados y estudiantes), heavy metal entre charla y charla… ¡¡y encima es en Cantabria!!

La única pega es que en enero la playa del Sardinero esta un poco complicada para bañarse (ejem… ShellCON… ejem… Julio… ejem).

Y sin más os dejo con la entrevista:

Antes de entrar en materia, ¿Quiénes estáis detrás de Sh3llCON? ¿quiénes son Carlos y Sergio?

SergioCarlos: Pues somos dos personas de lo más normalito, que compartimos más de una afición. Entre ellas la de cacharrear con ordenadores, y también la de complicarnos la vida mucho más de lo que debiéramos!

Sergio: En mi opinión, somos dos locos que no sabían dónde se metían…

¿A qué os dedicáis profesionalmente? ¿En qué consiste tu trabajo diario?

sabado-sh3llcon-28Carlos: Empecé intentando meterme en equipos de auditoría técnica y pentest, pero tengo que reconocer que no se me da nada bien. Por ello he terminado enfocándome más en la gestión de servicios de seguridad, consultoría y auditoría normativa.

Sergio: Actualmente soy administrador de sistemas, aunque cada vez toco más palos relacionados más directamente con la seguridad, que es lo que más me gusta. Así que intento aprovechar todo lo que puedo de lo que veo en mi trabajo diario para aplicarlo en seguridad.

¿Cómo llegasteis al mundo de la informática en general y al de la seguridad en particular?

Sergio: Tengo que reconocer que, aunque empecé muy tarde con la informática (mi primer ordenador – a excepción del spectrum 128K – le tuve con 18 años, y era prestado), siempre he destripado trastos viejos que había por casa. Empecé trabajando como programador, y fue entonces cuando me enteré de que se iba a celebrar la primera RootedCON, a la que acudí sin saber muy bien qué era todo aquello. Ahí me di cuenta de que quería dedicarme a esto, y simplemente seguí mi propio instinto.

Carlos: En mi caso fue a partir de unas jornadas de ciberdefensa que hubo en mi universidad. Había «un señor con gorro» con el que estuve hablando en la cafetería, y al comentarle que me gustaba mucho de lo que habían estado hablando pero que para mi era algo nuevo y que no creía poder ponerme al día me contestó que lo único que tenía que tener eran ganas de aprender. Y mira tú, desde entonces hasta hoy!

Me parece muy complicado encontrar cosas interesantes fuera de Madrid o Barcelona, aunque espero que cada vez podamos tender más al trabajo en remoto.

¿Cómo veis el estado del trabajo de seguridad en España?

Sergio: Yo creo que cada vez hay más y mejor trabajo, aunque todavía queda mucho camino por recorrer. El tema del teletrabajo está empezando a entrar en las empresas, y se descubren cada vez a mejores profesionales. Todo esto es bueno, pero tiene que haber una sintonía entre ambas partes.

Carlos: Personalmente lo veo como un sector con mucho futuro, pero que por desgracia sigue estando muy localizado en pocos sitios. Me parece muy complicado encontrar cosas interesantes fuera de Madrid o Barcelona, aunque espero que cada vez podamos tender más al trabajo en remoto.

¿Qué consejo le daríais a las personas que quieran dedicarse a la seguridad?

Carlos: Que nunca es tarde, y que trabajar en seguridad no implica tener que ser un técnico con una capacidad sobresaliente. Hoy en día la seguridad es un servicio transversal a cualquier empresa/organización, y tenemos la suerte de que la normativa y la legislación van en nuestro favor.

Sergio: Coincido totalmente con Carlos, si alguien quiere dedicarse realmente a seguridad, adelante, sea quien sea y tenga la edad que tenga. Que se mueva, que lea todos los artículos que pueda, que conozca gente, que sea persistente… al final de lo que se trata es de ser feliz, las metas se las pone uno mismo.

sh3llcon-viernes-31
¿Cómo es alternar el trabajo diario con la organización de un evento como la Sh3llCON?

Sergio: Esta pregunta la debería responder mi mujer… Si tienes la suerte de poder utilizar tiempo de tu trabajo para el congreso, genial. Y si no, tienes que hacer malabares y utilizar tu tiempo personal, al fin y al cabo Sh3llCON no deja de ser un proyecto personal, y todo el tiempo que le puedas dedicar es poco.

Carlos: Complicado! Sobre todo en algunas fechas críticas en las que parece que se juntan las fases más complicadas de trabajo y evento, y hay que sacarlo todo adelante al mismo tiempo.

Si alguien quiere dedicarse realmente a seguridad, adelante, sea quien sea y tenga la edad que tenga. Que se mueva, que lea todos los artículos que pueda, que conozca gente, que sea persistente… al final de lo que se trata es de ser feliz, las metas se las pone uno mismo.

¿Nos podéis dar algunas cifras de la pasada edición?

Carlos: Yo me quedo con dos cifras. Por un lado, 16 ponentes cuando pensábamos que no íbamos a llegar ni siquiera a cubrir una jornada de 6 charlas. Por el otro, una sala con más de 100 personas. Al empezar el viernes y ver la sala llena yo no me lo creía.

¿Cuántas personas hay implicadas en la Sh3llCON? ¿De qué forma?

Carlos: Empezamos siendo 5, y este año somos 11. Todos participamos de forma voluntaria (Sh3llCON es una organización sin ánimo de lucro) y echamos el tiempo que podemos en la organización. Nos repartimos muchas tareas, desde buscar financiación, mantenimiento de la web, gestión de redes sociales, merchandising,… Y a veces nos faltan manos!

Sergio: Efectivamente, este año somos 11, y a veces no es fácil ponernos de acuerdo en todo, son muchas las tareas a hacer. Pero en cierto modo me gusta pensar que Sh3llCON lo hace mucha más gente, al fin y al cabo nosotros «solo» ponemos de acuerdo a ponentes, asistentes y patrocinadores. Sin alguna de estas partes, no se podría hacer.

Qué novedades podemos esperar en la segunda edición de Sh3llCON?

Carlos: Hay algunos cambios que nos sugirieron en las encuestas de la primera edición. Por ejemplo, hemos sustituido un par de charlas por talleres más prácticos. Aparte, hemos cambiado el concurso de desarrollo por un CTF básico. Nuestra idea con esto no es hacer un reto complejo, sino animar a que se presente la gente que pueda pensar que no tiene suficiente capacidad para participar en este tipo de retos.

La gente nos agradecía el montar algo así «cerca de su casa».

La acogida del primer evento fue muy buena, ¿cuál creéis que es el motivo?

Sergio: Yo creo que se echaba de menos algo así en esta región, puesto que el evento más cercano estaba en Madrid. También quizás es algo nuevo para mucha gente que se dedica a la informática, y el hecho de hablar de «hackers» es llamativo. Otros supongo que se habrán acercado al ver LA (así, con mayúsculas) oportunidad de meterse más en este mundillo, conocer gente que le gustan las mismas cosas (ya no eres el raro del grupo)… y lo digo porque en mi caso fue así cuando decidí asistir a mi primera CON.

Carlos: Creo que hay mucha gente que no puede permitirse el ir a CONs más grandes por el hecho de tener que trasladarse durante 3 días, pagar viajes y hotel,… En la edición del año pasado teníamos a mucha gente de PYMEs, a universitarios y gente de institutos, etc. La gente nos agradecía el montar algo así «cerca de su casa».

¿Que problemas encontrasteis en la primera edición del evento?

Carlos: Hay que reconocer que conseguir el presupuesto para montar algo como Sh3llCON es muy complicado. Al final hay que pagar billetes de avión, habitaciones de hotel, un auditorio, mucho material,… Hemos tenido más de un momento de querer tirar la toalla a medio camino, o incluso de reservar algo de nuestro propio bolsillo por si no llegásemos a cubrir gastos. Aparte de esto, es muy difícil llegar al público, y conseguir que el número de asistentes sea el mayor posible. Trabajamos mucho para intentar tener visibilidad, que nos conozcan en universidades, en clusters de empresas, en redes sociales… Sin público un evento como Sh3llCON no tendría sentido.

Sergio: Sobre todo eso, darte a conocer, que te hagan caso, que llegues a la gente y conseguir que les guste la idea tanto como a ti. Por no hablar conseguir que, además, te den dinero para llevarlo a cabo. Aunque debo reconocer que hubo patrocinadores que no se lo pensaron dos veces a la hora de apoyarnos, es algo con lo que siempre estaré en deuda.

¿Alguna anécdota que queráis compartir de la anterior edición de Sh3llCON?

Carlos: Jueves a las 4 de la mañana, todavía poniendo pegatinas a mano en todas las acreditaciones, Sergio dándole vueltas al discurso de inauguración y yo diciéndole «pareces una máquina expendedora, ¡empieza otra vez!». Nos pasamos la noche sin dormir y el viernes no podíamos con el alma.

Sergio: ¡Iba a contar esa misma anécdota! Soy pésimo a la hora de hablar y explicarme, tenía que decir 4 párrafos en.. ¿cuánto, 2 minutos? Y después pasarle la palabra a Carlos. En serio, se me da muy mal… Carlos creo que tiene callo todavía de pegar los códigos en las acreditaciones. Tengo otra más, y es que la primera vez que llamé a Carlos para proponerle hacer una CON me dijo que sí, que lo intentásemos a ver hasta dónde llegábamos. Una semana después le llamé diciéndole que tenía X ponentes confirmados, medio apalabrado un patrocinio y recuerdo un breve silencio en el teléfono, seguidamente de un largo ¿quéeeee?
sabado-sh3llcon-45
¿Qué aspecto tiene Sh3llCON a futuro?

Sergio: Llámame ingenuo, pero mi objetivo es que sea una especie de «centro de especialización de seguridad informática» durante dos/tres días al año, que haya talleres para todos los niveles, charlas de todo tipo de temáticas, ctf para newbies y ctf para pros, zonas de networking, que todos y cada uno de los asistentes encuentre su rincón en el congreso… Todo a su debido tiempo.

Carlos: Espero que bueno!! Hay mucha gente poniéndole muchas ganas, así que espero que siga teniendo buena acogida del público.

El volumen de información, eventos, y empresas que están entrando en el terreno de la seguridad es notable desde hace unos años. ¿Creéis que este volumen viene acompañado de un nivel de calidad acorde? ¿Qué opináis del estado de la “comunidad” de la seguridad actual?

Carlos: Es cierto que cada vez hay más eventos de este tipo, así que lo que más importante me parece es que también haya cada vez más gente con ganas de dar charlas. Creo que una de las funciones que deberíamos tener es la de identificar nuevos talentos, gente que nunca haya dado una charla pero que tenga una idea interesante que compartir con la comunidad. Por eso este año hemos abierto un Call For Papers, para animar a que todo el que quiera pudiera mandarnos temas interesantes y abrir la puerta a todo el mundo.

Sergio: Hay de todo, como en todos los sitios. Hay vende-humos y hay gente seria (tanto empresas como profesionales). Pero creo que en general se está tomando este tema más en serio. En cuanto a la comunidad, no puedo hablar mucho porque no llevo tanto tiempo como otros, pero en mi opinión el mundo ‘under’ ya no es tan ‘under’ como antes, ahora es más ‘comunidad’. Sí que hay mucha colaboración entre CON’s (llámese RootedCON, NocONName, NavajaNegra-ConectaCON, Hackr0n…), y a ellas les agradezco lo que hoy es Sh3llCON. Además, me parece una forma muy directa y viable de debatir un tema entre tanta gente, y donde cualquiera, repito, CUALQUIERA, puede darse a conocer o exponer su opinión/visión/proyecto/etc sobre algo en concreto.

Todos los que vengáis por Sh3llCON diciendo que venís de parte de SecurityInside os invito a una caña!

Por último, sabemos que mantenerse al día en este mundo es complicado, ¿Qué blogs de seguridad (aparte del nuestro) leéis normalmente? ¿Cómo os mantenéis al día?

Carlos: Tengo que reconocer que cada vez tengo menos tiempo de seguir blogs, así que aprovecho mucho los reportes semanales que se hacen desde el SOC de la empresa en la que trabajo (Thanks guys!). Aparte de eso hoy por hoy miro poco más que las newsletters de Hispasec, y los RSS de SBD, Flu Project y de Chema. Admiro de verdad a todos los que podéis organizaros no sólo para estar al día leyendo varios blogs, sino también para escribir posts de forma periódica. Olé vosotros!

Sergio: Yo últimamente tiro más de twitter porque me es más inmediato consultarlo desde el móvil que un blog pero, si responde a tu pregunta, me ‘crié’ leyendo SET (aunque no fuese un blog y entendiese más bien poco), y por RSS a SecurityByDefault, El lado del mal y websecurity. Después ya descubrí Flu Project, SecurityArtWork, Pentester, DebianHackers… no es mi intención hacer publicidad, que conste 🙂

¿Algo que queráis añadir?

Carlos: Que a todos los que vengáis por Sh3llCON diciendo que venís de parte de SecurityInside os invito a una caña! Muchas gracias por acordaros de nosotros!

Sergio: Que yo voy de parte de SecurityInside 😛 y a todos los que hacen posible Sh3llCON: So long and thanks for all the shoes!

Y hasta aquí la entrevista con estos chicos que tuvieron una idea y no pararon hasta hacerla realidad.
Aprovechad que hoy, día 20 de enero, es el último día para comprar las entradas. Así que si no tenéis planes para el fin de semana, pasaros a partir del día 22 de enero por Sh3llCON, visitad Santander, aprended muchas cosas, decidle a Carlos que vais de nuestra parte para que os invite a una cañita y si me mandáis unas anchoitas de Santoña os estaré eternamente agradecido.