#RadioHack 29/07/2014

Un nuevo Martes pasó y con él una nueva emisión de #RadioHack junto a Matias Katz, Chino Ogawa y Cristian Amicelli, en esta oportunidad hablando sobre 900.000 apps maliciosas en Google Play, Instagram envia cookies por HTTP, Plugin de Wordpress vulnerable a file upload, de-anonymity en Tails OS, Etica profesional: caso Snowden.

Nuevamente quería agradecer a todo el equipo de #RadioHack por recomendar uno de mis proyectos Software Libre para fortificar WordPress llamado #WPHardening y comentarles que este 1ro de Agosto voy a estar publicando su versión 1.3

Saludos!

Como fusionar GoLismero y SpiderFoot

Hace unos días estuvimos hablando de SpiderFoot, realmente una excelente herramienta de footprinting que el software libre nos regala y por otro lado, en algún momento estuvimos hablando sobre GoLismero, otra herramienta integradora ideal para el uso diario en nuestros pentesting.

Hoy les propongo mostrarle la forma de como integrar las búsquedas de SpiderFoot junto al poder de GoLismero, no se lo pierdan.

Dando el supuesto de que las dos herramientas ya la tenemos en nuestro entorno de prueba, directamente descargados desde sus repositorios en GitHub, lo primero que vamos a hacer es ejecutar el servidor de SpiderFoot de la siguiente manera:

$ cd spiderfoot/
$ python sf.py

OwnCloud 7

Tal y como estaba planificado, ayer fue el gran lanzamiento de ownCloud 7, el software OpenSource que te permite crear un SaaS (Software as a Service) en tu propio servidor, dando la posibilidad de usar una nube privada o hídrida.

Frank Karlitschek, creador del proyecto y principal desarrollador comentó en su blog personal:

La liberación de ownCloud 7 no es sólo la celebración de un montón de trabajo duro por la comunidad ownCloud, sino también un nuevo comienzo! No sólo vamos a lanzar actualizaciones de esta versión, solucionar problemas y añadiendo traducciones, pero la comunidad ahora también empieza a actualizar las numerosas aplicaciones OwnCloud a ownCloud 7.

Características de ownCloud 7

• Mejoras muy importantes a la hora de compartir archivos, ahora es mucho más simple y flexible
• Mejoras en la Edición de archivos colaborativo, ahora se puede convertir los documentos de Microsoft Word y editarlos on-line.
• Notificación en la actividad de los archivos, permite notificar por email toda actividad que pase en un directorio.
• Nuevas vistas en el navegador de archivos, mucho más ordenado y simple.
• Indicador de fortaleza a la hora de crear nuestro password, de mucha ayuda para los usuarios para indicarle el nivel de robustes de sus claves.
• Importante optimización en la velocidad de carga de los archivos CSS y JavaScript.
• Nuevo Administrador de usuarios, con mejoras para administrar los grupos.
• Mejoras en el Acceso de Almacenamiento Externo como FTP, Dropbox, Google Drive, sFTP, Swif, S3, WebDAV, SMB/CIFS entre los más utilizados.
• Implementación de objetos Swift como objeto de almacenamiento.
• Integración con un escanner de Antivirus, podemos implementar CLAM AV.
• Mejoras en la implementación de autenticación con LDAP y ActiveDirectory.
• Wizard para la configuración de SMTP.
• Template de correos editable.
• Mejoras en la implementación de Cuotas de disco, incluido almacenamiento externo.

#RadioHack 22/07/2014

Ya se encuentra disponible el programa de esta semana, luego del mundial y de unas semanas #RadioHack volvió a sonar en vivo, esta vez con Cristian Amicelli de vacaciones, Matias Katz ( @MatiasKatz ) y el Chino Ogawa ( @chinoogawa ) estuvieron hablando sobre Fotos accedidas por la NSA, Charla sobre TOR en Black Hat cancelada, Vulnerabilidad a Java, el poder de Google, seguridad en aeropuertos, vulnerabilidad en gateways Cisco

Saludos!

Sistemas de Detección de Intrusos

Otro elemento para asegurar las redes y que además complementan la implementación de los firewalls, es un sistema de detección de intrusos (IDS). IDS funciona junto a los routers y firewalls monitoreando las anomalías en el uso de la red.

Un IDS opera de manera continua en el sistema, ejecutándose en segundo plano (background) como un servicio y notificando a los administradores cuando detecta una amenaza percibida.

Podemos encontrar 2 tipos de IDS:

IDS basados en la red: Estos identifican los ataques dentro de la red que ellos están monitoreando y emiten una advertencia al operador.

IDS basados en host: Estos están configurado para un ambiente específico y monitorearán los distintos recursos internos del sistema operativo para advertir sobre un posible ataque.

Componentes de un IDS

• Los sensores son los responsables de la recolección de los datos.
• Los analizadores que reciben la información entrante proveniente de los sensores y que determinan la actividad del intruso.
• Una consola de administración
• Una interfaz de usuario.

Características

Las características disponibles en un IDS incluyen:

• Detección de intrusos
• Recolección de evidencia sobre la actividad del intruso
• Respuesta automatizada
• Política de seguridad
• Interfaz con la herramientas del sistema
• Gestión de políticas de seguridad

SpiderFoot

Hoy me gustaría recomendarles una herramienta que nos puede facilitar mucho la tarea de Footprinting a la hora de iniciar cualquier Pentesting.

Se llama Footprinting a las técnicas utilizadas para recopilar datos relevantes del objetivo a analizar antes de realizar cualquier test de intrusión. Por ejemplo: número de telefonos, direcciones IP, rangos de red, dominios, usuarios, etc.

Para esta tarea existen varias herramientas que podemos utilizar, pero hoy quería recomendarles la que estoy utilizando desde hace tiempo, llamada SpiderFoot.

Antes, hacer este trabajo sin una herramienta requería de un buen manejo de buscadores, varias pestañas abiertas, crear scripts para hacer un match de alguna expresión regular, cosas muy a al estilo ninja, muy divertidas pero a su vez el tiempo que requería comenzar era bastante y siempre hablando de la primera etapa en un Pentesting, donde muchos la califican como la más importante.

SpiderFoot es una herramienta que automatiza todas estas búsquedas de información, dejando algunos detalles técnicos, les puedo comentar que está escrito en Python, es multiplataforma por lo que se puede ejecutar en sistemas Windows y Linux, y además es una herramienta Open Source.

Cada escaneo que realizamos en SpiderFoot no da la posibilidad de escoger entre más de +30 módulos tales como DNS, E-Mail, Google, GeoIP, Shodan, Social Network, Web Server, etc.

Otras de las cosas interesantes de SpiderFoot son los reportes Web, que nos van indicando en todo momento el estado de cada escaneo y su resultado final en tiempo real, con un excelente trabajo estético en los reportes web.

Regresamos al dominio .com.ar

Les voy a contar como fue que perdí el dominio caceriadespammers.com.ar algo que desde hace tiempo lo sabía ¿? y como fui que lo recupere.

Por le 2012 NIC Argentina decidió cambiar y modernizar los sistemas para la registración de dominios, priorizando la seguridad, simplificando la gestión de los dominios y cobrando un canon anual por cada dominio registrado, algo que se viene dando muy bien, al igual que se publicaron los tiempos de migración y se fueron cumpliendo paso a paso.

NIC Argentina, bajo la jurisdicción de la Dirección Nacional de Registro de Dominios de Internet, tiene la responsabilidad de administrar el dominio de nivel superior .ar, además del registro de nombres de dominio de Internet de las personas físicas y jurídicas.

Para poder continuar como dueño de los dominios, los usuario teníamos que registrarnos con una cuenta de correo y vincularla con el anterior servicio, tal y como se mostraban en los documentos y videos que NIC Argentina comenzó a circular por las redes sociales.

El problema con caceriadespammers.com.ar surgió en la vinculación de los datos, ya que cuando voy a verificar la lista de dominios, aparecían unos 10 dominios que son de clientes, familia, amigos y otros proyectos pero no aparecía caceriadespammers.

En el buscador de dominios de NIC Argentina aparecía esta información asociada al dominio

Lo único que coincide aquí es el Nombre y Apellido, el resto de la información no corresponde a mi persona y eso en el área de atención al usuario se lo hice saber varias veces, reporte datos falsos, intercambiamos correos, pero ninguno de estos puntos dio resultado.

Por la cuál, la única solución fue esperar a que el dominio se venciera y nuevamente registrarlo, corriendo el riesgo de que otra persona tenga la posibilidad de registrarlo.

En todo este tiempo, afortunadamente utilizamos el dominio .blogspot.com para seguir en contacto y compartiendo información, por supuesto que no es lo mismo.

Y esa fue la historia de como injustamente perdí un dominio hoy lo recupere.

Saludos!

Algún día, no te vamos a creer más #SPAM

Hoy muy temprano, revisando la casilla de correo no pude evitar tentarme de la risa al recibir un correo a mi cuenta de gmail.com

Aunque al parecer no fui el único quien recibió este tipo de #SPAM

Hace un poco más de un año, ya les comentaba lo decadende que estaba este tipo de prácticas para buscar engañar a los usuarios y hoy definitivamente lo vuelvo a confirmar.

Este tipo de correo sinceramente ni mi padre que no es un gran conocedor de informática precisamente, creería lo que dice, es tan obvio y tan mal creado el engaño que realmente causa mucha risa.

Lo único que nos queda por hacer es denunciar y comentar esas prácticas fraudulentas, no entre nosotros que vivimos viendo esto, sino más bien entre los miembros de nuestras familias, reuniones de amigos, colegas de trabajo. Para evitar el engaño hacia ellos que siempre son el eslabón más débil en la cadena.

Saludos!

Lo que se viene la IV edición de Navajas Negras

Ya se encuentra publicada las fechas para este IV Congreso de Seguridad Informática Navajas Negras, que van a ser el 2, 3 y 4 de Octubre en Albacete – España.

Recientemente y con anticipación se comenzaron a dar detalles sobre este evento, por ese motivo se encuentra abierto su Call For Paper para tener la posibilidad de ser un miembro activo de esta jornada mostrando tus conocimientos sobre diferentes temáticas y además se encuentra abierto el Call For Training para poder dictar talleres y dejar más conocimientos a esta jornada.

Las novedades

La principal novedad es que vamos a contar con 15 ponencias y 6 talleres gratuitos de la mano de los mejores expertos nacionales de Seguridad Informática y de los que vais a poder realizar hasta 4 diferentes como máximo. Pero esto no es todo... Vais a ser vosotros los que tengáis la oportunidad de elegir de entre todos los CFPs/CFTs enviados aquellos que más os gustan y queréis ver o asistir. Sin trampa, ni cartón...

Otra novedad, es que vais a poder dejar vuestro Curriculum Vitae en un área de reclutación con una urna para cada empresa que lo ha solicitado y los recibirán para sus procesos selectivos. Ya sabéis... a preparar un buen CV y llevar varias copias a "la Navaja" para dejarlas en el "Recruitment Area".

Nos gustaría que fuera un evento completamente gratuito como fueron los dos primeros, pero ya tenemos las cuentas finales previstas y tendrá un coste total de 30,00 euros por persona. En dicho coste se incluye el catering (desayuno, almuerzo y merienda) incluyendo bebidas para todos los días y la comida y fiesta del último día. También tendrás un descuento de un 33% si eres estudiante o te encuentras desemplead@ (en breve pondremos la documentación que se deberá presentar para acreditar dichas condiciones) por lo que el coste total será de 20,00 euros con el descuento. Haz clic aquí para tener toda la información para poder adquirir las entradas y votar los papers recibidos.

Por otro lado, si queres ganarte una entrada al congreso, nuestro amigo Roberto García de 1GB de Información está realizando un sorteo y les recomiendo que se den una vuelta por el blog para participar!

Esto es lo que se viene en la IV edición de Navajas Negras. Te lo vas a perder?

Saludos!

Enlace | navajasnegras.com

Nuevo proyecto para fortificar ownCloud

Desde hace un par de años que comencé a utilizar el sistema ownCloud para crear mi propia nube privada SaaS en vario de mis servidores en producción para compartir archivos entre los usuarios de mi rad.

Haciendo uso además de muchas de las bondades que encontramos en ownCloud como es la autenticación de usuarios con servidores LDAP, notificación de correo, la edición colaborativa, el uso de los protocolos WevDAV, CalDAV y CarDAV entre otras cosas.

Si bien a cada una de las instalaciones de ownCloud dentro de cada servidor se realiza su proceso de  hardening o fortificación previo, como la eliminación de archivos innecesarios, la configuraciones extrema de cada servicio como así también del servidor junto a su firewalls y su IDS/IPS.

La necesidad ahora es lograr automatizar el proceso de hardening para ownCloud, teniendo la posibilidad de descargar un paquete y revisar sus librerías, actualizaciones, eliminaciones de archivos, etc. Hasta lo que tengo entendido no se encuentra ninguna herramienta para tal fin disponible para poder usarla.

En lo personal, desde hace un buen tiempo estoy trabajando y programando WPHardening que es una herramienta que nos puede ayudar a securizar los proyectos en WordPress.

La idea de este nuevo proyecto, que por el momento no tiene nombre, ni siquiera los requerimientos formales para comenzar a trabajarlo es justamente lograr realizar una herramienta que nos ayude a dejar lo menos expuesto ownCloud en nuestros servidores. Seguramente lo que valla a hacer va a estar basado en WPHardening, pero con muchas modificaciones.

Mi invitación es para todos los programadores o informáticos que utilizaron o están utilizando ownCloud como su nube privada a que se sumen a este proyecto y realicen sus aportes.

Estoy seguro que a medida que avance les voy a estar dejando los detalles del trabajo en el blog. Se animan a participar en este proyecto? Los espero a todos!
Saludos!

The Original Hackers Nº 7

Ya tenemos disponible la entrega número 7 de la revista digital libre “The Original Hacker” escrita por nuestra amiga Eugenia Bahit ( @eugeniabahit ) correspondiente al 30 de Junio del 2014.

Para este número, Eugenia nos preparo:

• Europio Engine Lab: URL customizables y slugs en Europio Engine
• Ingeniería de Software y estructura de directorios definitivas en aplicaciones MVC modulares.
• Hack para emular la autocarga y desactivación de módulos de un sistema como política de emergencia frente a fallos inesperados.
• Ese Captcha no verifica a los humanos, sino que comprueba su miopía. 

Además con el hashtag #AcertijoTOH7 podes participar del acertijo que está al final de la edición.

Saludos!

Descarga | The Original Hacker Nº 7

Ambientes de pruebas y producción

Cuando nos encontramos en una situación en la que por algún motivo nuestro ambiente actual de producción debe ser modificado, actualizado o cambiar de un estado a otro, es necesario, para evitar  los riesgos de una posible caída del sistema o degradación del mismo, imitar varios escenarios similares y lograr ensayar esos cambios allí.

Un ambiente de producción, es un ambiente sumamente controlado, tanto por los recursos que están involucrados como en las configuraciones de cada sistema o servicio, en tanto que un ambiente de pruebas lo podemos considerar como un escenario con poco control, en donde generalmente podemos modificar todos sus componentes sin miedo o temor a “romper” algo.

Hoy en día, gracias a las tecnologías de virtualización, es muy simple crear entornos de prueba basados en un entorno de producción, para que el escenario sea lo más parecido al que luego hay que implementar. Todo depende de los hipervisores que se estén usando, basta con clonar esa maquina virtual o pasar de una máquina física a una virtual.

Recuerden, sea cuál ser el servidor, el servicio, las configuraciones, las librerías, etc. lo mejor que podemos hacer es probar siempre primero en su entorno de desarrollo siempre. Con esto podemos evaluar su comportamiento y luego planificar su implementación en su entorno de producción.

Llevándolo un poco más a la práctica, por ejemplo, un buen diseñador web puede crear un nuevo estilo para una web desde su entorno de desarrollo, ver el comportamiento de ese estilo en diferentes navegadores, realizar las optimizaciones, etc. Lo mismo puede hacer un administrador de sistema, cuando por ejemplo debe migrar a una versión reciente de WordPress, es muy simple montar un LAMP, importar la base de datos extraída del entorno de producción y probar y actualizar el sistema WordPress, hacerlo una o varias veces o dejar que nuestro compañero aprenda sobre ese mismo escenario.

Las posibilidades hoy por hoy son infinita,  la verdad que les aseguro que se van a ahorrar muchos dolores de cabeza.

Saludos!