Le damos la bienvenida al 2016

No voy a dejar pasar esta oportunidad para cerrar este magnífico año 2015, desde lo laboral y lo personal y ojala para ustedes también lo sea.

Es por eso que desde este humilde espacio pero muy importante para mi, les quería desear un Feliz 2016! que este inicio de año los encuentre junto a sus familiares y amigos, buscando siempre el reencuentro, la paz y mucho pero mucho trabajo e investigaciones para todos.

Ya les dejé alguno de mis proyectos para el 2016 cosas que tengo en mente y quiero comenzar a materializarlo cuanto antes.

Nuevamente muy agradecido a todos ustedes que están del otro lado leyendo aquello que tanto me gusta compartir y desde mis blogs personales Cacería de Spammers y el codigo k les quería desear de corazón un muy

F E L I Z  2016!!!

Saludos! y nos leemos el año que viene :D

Falleció Ian Murdock, el creador de #Debian

Realmente es muy triste tener que dar esta noticia, pero la realidad es que el pasado Lunes 28 de Diciembre del 2015 falleció Ian Murdock y hoy sin duda toda la comunidad #Debian y #Linux lo va a recordad para siempre.

El anuncio de se muerte fue publicado en el blog de Docker donde se encontraba trabajando en sus últimos días.

Sus familiares han solicitado que se respete su privacidad y que dirijan cualquier tipo de preguntas a través de Docker, donde los comentarios se han dejado abiertos para quienes quieran expresar sus condolencias. La causa de muerte no ha sido revelada.

Realmente desde aquí lamento dar el adiós a un emblema del software Libre. ;(

Saludos!

Mis proyectos para el 2016

Sinceramente, no se si es el mejor título para este Post pero quizás el primero que se me ocurrió para ir cerrando este excelente año y comenzar a pensar en el 2016.

Este año la verdad que escribí la mitad de post de los que venía escribiendo en años anteriores, desde allí parten mis disculpas a todos y cada uno de los lectores que siguen Cacería de Spammers, las razones pueden ser un montón pero no me gustaría que suenen a excusa. Sin embargo quería remarcar que a pesar de no haber escrito tanto los usuarios y las visitan se duplicaron y por esa razón estoy muy contento por las repercusiones que esta teniendo este proyecto.

La idea siempre fue publicar cosas actuales e investigaciones que llevo, o quizás algo que me llame la atención, proyecto personales y afortunadamente esto va a seguir así.

Este año decidí volver a escribir en mi Blog de Programación el codigo k, un blog con el que me inicié y con muchas ganas de mostrar lo poco o mucho que voy aprendiendo en programación y que aveces poco tiene que ver con seguridad informática pero que siempre me gusta compartirlo.

Llevar adelante estos proyectos personales y pensar todo el tiempo que va a ser lo próximo que voy a compartir no es tarea fácil, pero nuevamente no vamos a caer en excusas sino mejor ver las formas de lograrlo. Por otro lado, no es un trabajo sino una pasión publicada en un medio digital.

Es por ello que para el 2016 seguiré aplicando mi plan de mejora continua con la idea de realizar más publicaciones y estoy seguro que cuento con la colaboración de cada uno de ustedes para compartirla y hacerla llegar a mas usuarios geek con las mismas pasiones.

Con respecto a WPHardening, un proyecto que me abrió muchas puertas y me permitió esta en varias conferencias, este año le vamos a dar el soporte que corresponde pero no está pensado en crecer tanto. Recuerden que es de licencia libre y están todos invitados a colaborar y mejorarlo. De todas maneras me parece que este año lo voy a dejar de vacaciones.

De más esta decir que a estas altura del año todos necesitamos de unas vacaciones, aunque sea un par de días para descansar la cabeza, estar con la familia y comenzar a pensar en los nuevos proyectos para el 2016.

En cuanto a eso tengo pensado hacer varias cosas, algunas que ya se van a ir enterando pero tiene mucho que ver con Scrapy, Mongodb y WordPress. voy a estar publicando cada Domingo algún video de conferencia recomendado, otros proyectos personales basados en servicios de seguridad para crecer profesionalmente y finalmente estoy con ganas de profesionalizar un poco más la escritura y buscar algún mecanismo de publicar algunos ebook.

Ahora tengo que comenzar a buscar los medios para concretar cada uno de estos proyectos y no las excusas, se que en cada publicaciones nuevamente me van a estar brindando todos sus Like, +1 o un RT y como siempre se los voy a estar más que agradecidos.

Saludos!

Terminal Hackpplications por @chemaalonso

Corría el año 2011 y en una de las conferencias más importantes de latinoamerica como la Ekoparty nuestro amigo Chema Alonso @chemaalonso realizaba una muy bonita presentación sobre hacking en Terminal Services y Citrix.

Ya estamos en el último Domingo del 2015 y la verdad que es una muy buena forma de despedirlo que viendo una conferencia sobre seguridad.

Que los disfruten y a tomar dato que hay mucha información, mucho humor y grandes demos.


Saludos!

Maratón de actualizaciones en #Symfony2

Los que estamos pendientes de las cosas nuevas que aparecen en el proyecto Symfony2 hoy nos dimo con la sorpresa que se encuentra disponible una maratón de actualizaciones para todas sus versiones estables.

Evidentemente las fiestas de navidad no son un motivo de descanso para los programadores que trabajan en el proyecto y hace algunas horas, en la web oficial de Symfony2 se publicaron las actualizaciones para las versiones Symfony 2.3.36, Symfony 2.7.8, Symfony 2.8.1 y Symfony 3.0.1 todas corrigiendo los siguientes bugs de cada uno de sus enlaces.

Finalmente y como recomendación, es indispensable mantener Symfony2 en nuestro proyecto actualizado a la última versión disponible para evitar problemas de seguridad futuros.

Saludos!

Feliz Navidad 2015.

A todos ustedes, que desde hace tiempo siguen Cacería de Spammers y el codigo k, no quería dejar pasar estas fechas para desearles una excelente Noche Buena, una mesa compartida con amigos y familia y una muy Feliz Navidad!

Un fuerte abrazo a la distancia a todos los amigos que hacen que la magia suceda y en lo personal un saludo muy especial a toda mi familia, mi esposa y mi pequeña princesita <3

Saludos!

Informática Forense en #ITTalks

Un nuevo e interesante episodio digital de nuestros amigos de #ITTalks Jason Soto @JsiTech y José Moruno Cadima @sniferl4bs

El perito que nos estará Acompañando es Lórien Doménech Ruiz, Perito Informático y Ceo en L.A. y Asociados (auditorías, tasaciones, peritajes y consultoría TIC) , pueden ver su perfil aquí https://ldr4.wordpress.com/.

Temas a Tratar en este Primer ITTalks de Informática Forense

1. ¿Qué es un Perito Informático Forense?
2. ¿Que se puede peritar?
3. La metodología
4. La profesión de Perito
5. Demos
a) Emails
b) Disco duro
c) Facebook
d) WhatsApp


Saludos!

Bases de Datos públicas de tu #WordPress

Si les gustó el último Google Hack publicado de WordPress donde indexaba algunos archivos logs, les prometo que éste les va a gustar mucho más.

Como se habrán dado cuenta, desde hace algunos años dediqué varias horas de trabajo e investigación a mejorar la seguridad de WordPress, ya sea desde WPHardening como así también publicando algunos Dorks en Google.

Siempre que se quiere comprometer una web se busca obtener como trofeo su activo más importante como son las Bases de Datos, entonces se intenta ejecutar diferentes vectores de ataque como FPD, Fuerza Bruta, Exploit o inclusos 0Days.

Pero que pasa cuando nuestro más preciado tesoro se encuentra indexado en Google?

inurl:"/wp-content/" filetype:sql

Nunca está de más hacer las mismas recomendaciones, WordPress por defecto no incluye un archivo robots.txt que es donde le indicamos a los buscadores que es lo que debe y no debe indexar.

Si utilizan WPHardening para fortificar la seguridad de su sitio, les puede generar un archivo robots.txt de la siguiente forma:

# Files and Directories to notindexing of our WordPress

User-Agent: *
Allow: /wp-content/uploads/
Allow: /feed/$
Disallow: /wp-
Disallow: /wp-content/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /?s=
Disallow: /search
Disallow: /index.php
Disallow: /*?
Disallow: /*.php$
Disallow: /*.js$
Disallow: /*.inc$
Disallow: /*.css$
Disallow: */trackback/

# Rules for most known bots

User-agent: Googlebot

User-agent: Googlebot-Image
Disallow: /wp-includes/
Allow: /wp-content/uploads/

User-agent: Mediapartners-Google*
Disallow:

User-agent: ia_archiver
Disallow: /

User-agent: duggmirror
Disallow: /

User-agent: noxtrumbot
Crawl-delay: 50

User-agent: msnbot
Crawl-delay: 30

User-agent: Slurp
Crawl-delay: 10

User-agent: MSIECrawler
Disallow: /

User-agent: WebCopier
Disallow: /

User-agent: HTTrack
Disallow: /

User-agent: Microsoft.URL.Control
Disallow: /

User-agent: libwww
Disallow: / 

No descuiden la información de sus proyectos webs o puede caer en manos de personas malintencionadas.

Saludos!

Cuida tu #WordPress para que no indexen el log

Hoy regresamos, luego de un tiempo de no descubrir y publicar algún Google Hack.

Para el día del hoy les tengo preparado el descubrimiento de los archivos Logs dentro del directorio wp-content/ de un clásico proyecto en WordPress

inurl:"/wp-content/debug.log"

Qué es lo que vamos a encontrar en estos archivos?

Principalmente un exposición Full Path Disclosure producto de algún tipo de error en tiempo de ejecución por algún mal funcionamiento o falta de algo.

Lo mejor que puede hacer en estos casos es hacer uso del archivo robots.txt y adicionar una directiva como la siguiente:

Disallow: /wp-content/

De esta forma, evitamos que Google meta sus narices e indexe cosas que no queremos

Saludos!

Tu DevOp me da trabajo: Soy auditor de seguridad en codemotion 2015

Que buen título para una bonita conferencia de Daniel García @ggdaniel para la última codemotion 2015 llevada a cabo el 27 y 28 de Noviembre.

Recordemos que dani García es un excelente programador en Python y uno de los creadores de proyectos como GoLismero y Plecost, y nos deja una conferencia sobre Fallos y "despistes" que cometen muchos SysAdmin y DevOps y cuál sería la mejor forma de mitigarlos.


Además se puede visualizar y seguir sus slides desde aqui.

Tu DevOp me da trabajo: Soy auditor de seguridad from Daniel Garcia (a.k.a. cr0hn)

Saludos!

Día Internacional de la Seguridad Informática

Hoy, 30 de Noviembre estamos celebrando el Día Internacional de la Seguridad Informática. Ya llegando a unas fechas de Navidad y Fin de Año es donde tenemos que prestar más atención de no ser víctimas de estafas en comercios electrónicos, SPAM, Malware, etc.

La idea de este día, no es presentar un arsenal de herramientas o hacer alguna review, simplemente concientizar a empresas, amigos y familia sobre todos los riesgos que corremos en estos tiempos.

La fecha fue declarada en el año 1988 por la Association for Computing Machinery (ACM), quien sostuvo que era necesario concientizar y capacitar sobre los riesgos asociados al uso de las nuevas tecnologías de la información y la comunicación debido a un incremento tanto en los productos como en los usuarios.

Internet cada vez está más cerca de todos nosotros, incluso de nuestros menores y es justamente a ellos a quienes tenemos que cuidar. Muchas veces creemos que ellos saben mucho más que nosotros y en muchos casos estoy seguro que es así, sin embargo tenemos la responsabilidad de velar por ellos, de acompañarlos en el uso de las nuevas tecnologías, redes sociales y mantener un dialogo sobre estos temas.

En una era donde lo virtual toma más importancia que lo real, cuidemos a los más pequeños que dentro de muy poquito van a ser los que harán la diferencia.

Saludos!

Investigaciones Digitales por @cibercrimen

En una nueva edición de Campus Party Mexico, Andres Velazquez @cibercrimen compartió junto a todo el público del escenario Tierra una interesante conferencia sobre Investigaciones Digitales.

Conoce los procesos y la tecnología que se emplean en las investigaciones digitales. Andrés Velázquez. Presidente y Fundador de MaTTica, el primer laboratorio de investigación de delitos informáticos en América Latina.

Saludos!

Actualización de Seguridad en #Symfony 2.6.x y 2.7.x

El día de ayer, la comunidad de Symfony2 reparó y reportó entre otras cosas 2 fallos de seguridad muy importantes para las ramas 2.6.x y 2.7.x pero que afectarían a las versiones más recientes como la 2.8.x y 3.x

La primera de las vulnerabilidades corregidas está etiquetada como CVE-2015-8124: Session Fixation in the "Remember Me" Login Feature. Esta vulnerabilidad encontrada, que permite recordar la sesión de un usuario autenticado, un posible atacante podría realizar una suplantación de identidad conociendo previamente el ID de lasesión establecida.

La segunda vulnerabilidad etiquetada como CVE-2015-8125: Potential Remote Timing Attack Vulnerability in Security Remember-me Service. Una vulnerabilidad de ataque remoto al componente de seguridad de Symfony.

Las versiones afectadas por estas vulnerabilidades van de 2.3.0 a 2.3.34, 2.6.0 - 2.6.11, 2.7.0 - 2.7.6 Nuevamente la comunidad demostrando que esta a la altura de manejar un proyecto tan grande como Symfony2 dejando las explicaciones y las soluciones de los problemas reportados y resueltos.

Saludos!

Hacking con #Docker

Muchos han escuchado hablar de Docker pero muchos no saben de que se trata y porque es tan popular. El pasado Viernes, mis amigos Jason Soto @Jsitech y Jose Moruno Cadima @SniferL4bs en un nuevo Hangout para #ITTalks nos dejaron una muy bonita introducción a estos temas.

Estos son algunos de los temas que nos comentaron:

• Qué es Docker
• Qué son los Contenedores
• Buscando y Creando Imágenes
• Accediendo a los contenedores desde fuentes externas
• Penetration Testing con Docker
• Otros Usos

Afortunadamente ya se encuentra disponible el video con todo este contenido.


Saludos!

Threat not found! - DragonJarCon

En Septiembre de este año, se realizó la DragonJarCon 2015, uno de los eventos de Seguridad Informárica más importantes de Colombia y Latinoamérica.

Una de las conferencias, la llevó adelante Sheila Berta @UnaPibaGeek  con "Threat not found! - Matando a los Antivirus" mostrando diferentes mecanismos y formas que un malware puede saltearse el control de los antivirus.

Saludos!

AccessOnline Disabled #SPAM

Atención con este nuevo #SPAM que está dando vuelta por todos lados, afortunadamente no tengo cuenta en AccessOnline y utilicé un poco de sentido común.

Recuerden que si a alguien le llegó un mail similar a este, no ingrese ningún tipo de información no tampoco haga click en los enlaces internos.

Saludos!

Mejora Continua

Cuántos de los que leen este pequeño blog son Administradores de Sistemas ...? Cuantos de ustedes dedican varias horas del día a combinar comandos e inmortalizarlos en scripts ...? Cuantos se dedican a la investigación y seguridad Informática ...? Bienvenidos. Este es su espacio y a pesar que me gusta que sea algo técnico, hoy me gustaría conversar sobre "Mejora Contínua".

Todos conocemos personas que crean o implementan cosas interesantes  que llegan hasta una cumbre y afortunadamente también conocemos a personas que están poseídas por la intriga de saber como funcionan las cosas y son ambiciosos de conocimiento. Ese es el grupo que sin dudas tienen incorporado en su esencia la Mejora Continua.

La mejora continua no es más que un proceso de no conformarse con las cosas que sabemos, que aplicamos y que entendemos para buscar objetivos ambiciosos y no quedarnos en un estado de descanso.

La informática es una disciplina de cambio continuo, lo que hoy es una muy buena solución, mañana puede ser una vulnerabilidad o algo que perjudique a nuestro sistema. Por eso, para mí, la mejor continua comienza por uno, buscando la auto superación y contagiando al equipo de trabajo.

Existen además procesos de seguridad, auditorías, etc. que exigen la mejora continua, pero si el ejercicio no es de todos los días, o no es el fruto de una planificación previa, les juro que les va a costar el doble comenzar a aplicarlo.

Las personas proactivas desarrollando tareas informáticas, programando, administrando sistemas son mucho más valiosas que aquellas personas que llegan a un tope. En lo personal, prefiero encontrarme y trabajar con una persona que se equivoque varias veces pero que tenga la ambición y convicción de mejorarse a trabajar con personas que no quieren trabajar.

Para cerrar un poco más la idea, es interesante llevar el concepto de Mejora Continua a no intentar modificar el 100% de las cosas en un solo día, sino buscar mejorar el 1% todos los días.

Con ese enfoque, sin duda van a lograr que las cosas no se queden como están, interpretar cada parámetro de configuración, optimizar funciones, mejorar los aspectos físicos, redactar mejores informes, ejecutar pentesting optimizados, etc, etc, etc.

Saludos!

¿Cómo perfilar un cibercriminal?

En esta nueva oportunidad, voy a compartir con ustedes una excelente conferencia de Andrés Velázquez @cibercrimen presidente de MaTTica, donde nos comenta las nuevas metodologías de análisis forense y la forma en como se puede perfilar los cibercriminales.

Saludos!

Hackeando Carros en Latinoamerica

Hoy les quiero compartir una excelente conferencia de Jaime Andrés Restrepo @dragonjar en la última edición de la Campus Party Mexico 2015, donde muestra toda su investigación.

La charla es el producto de una investigación realizada al sistema de seguimiento y automatización de una reconocida marca de vehículos americana que tiene gran popularidad en Latinoamérica.

En esta conferencia mostraremos cómo carros económicos y altamente extendidos en la región, cuentan con problemas de seguridad que podrían poner en riesgo a su conductor, acompañantes y peatones.

En la charla se repasan varios vectores encontrados al vehículo, desde la posibilidad de ejecutar comandos de forma remota sobre cualquier carro en cualquier país con soporte, suplantar una celda celular para enviar ordenes al vehículo, realizar ingeniería social a los conductores y un montón de vectores más.

Saludos!

Owasp Zed Attack Proxy Guide

Estás interesado en aprender un herramienta como OWASP ZAP? Sin duda esta documentación en español y distribuida como Ebook es la mejor opción!

Su autor es Eric Balderrama @EricBalderrama y esta gran documentación se encuentra editada por mi amigo Jose Moruno Cadima de @sniferl4bs 

En este Ebook, vas a poder leer temas como:

• Introducción a Zaproxy
• Intercept Proxy
• Escaneos Pasivos y Activos
• Zap Web Crawling
• Fuzzing con Zap
• Zap Forced Browse
• Zest Script sobre Zap
• Actualización y Plugins en Zap
• Cuestiones que nos olvidamos
• Reporting

Todas mis felicitaciones para Eric y José por este gran trabajo y seguir compartiendo información tan valios.

Saludos!

Enlace | OWASP Zed Attack Proxy Guide

Seguridad Informática en UCSE y CIJ

En uno de los últimos eventos previsto para este 2015, este Viernes 16 y Sábado 17 de Octubre, San Salvador de Jujuy - Argentina y en la Universidad Católica de Santiago del Estero en conjunto con el Colegio de Ingenieros de Jujuy, voy a tener la suerte de estar presentando una charla "Desarrollo web Seguro" donde la idea es mostrar y reproducir vulnerabilidades webs ya conocidas y la forma en la que puede afectar al proyecto en genera.

A continuación les dejo el programa completo.

VIERNES 16 DE OCTUBRE:

8:00 hs. ACREDITACIÓN

9:00 hs. Anonimidad en ciber defensa y en ciber seguridad mediante onion routers - Dr. Roberto Uzal

10:20 hs. Café

10:40 hs. La seguridad informática, los delitos informáticos  y el rol de la Secretaría de Comunicación - Ing. Leonardo Villanueva

11:40 hs. Modelo de seguridad lógica para una base de datos - Ing. Hector Liberatori

17:00 hs. Desarrollo web seguro - Ing. Daniel Maldonado

18:00 hs.  Securizar la productividad, single sign-on(sso) - Ing. Matias alfaro

19:00 hs. Café

19:20 hs. Anillo óptico de seguridad tecnológica regional: grado de innovación del proyecto de interconexión e integración tic de Unasur para aumentar la capacidad de defensa - Ing. Pablo Cardozo herrera

SÁBADO 17 DE OCTUBRE:

9:30 hs.  Auditorias de tecnologia de la información en la empresa - Ing. Evangelina Maldonado

10:20 hs. Café

10:40 hs. Forense Digital - Ing. Sergio Appendino

11:20 hs. Introducción al manejo de identidades con azure active directory - Ing. Guillermo Bellman

En esta jornada voy a tener la suerte de estar junto a todos estos profesionales y compartir experiencias con personas que admiro como mi hermana :) y Mati Alfaro.

Para más información e inscripciones les recomiendo visitar el siguiente enlace.

Los espero, Saludos!

WPHardening 1.5

Luego de un tiempo de trabajo, ya se encuentra disponible WPHardening v1.5 implementando varias cosas interesantes.

Lo primero es que estamos estrenando un nuevo logo

Por otro lado a nivel de funcionalidades:

• Se incorpora una opción para la compresión de archivos *.css y *.js
• Con --chown vamos a poder definir usuarios y grupos
• Mejoras en la implementación de --malware-scan
• Nuevos plugins de seguridad
• Desactivación de actualizaciones automáticas
• Mejoras en la eliminación de componentes innecesarios
• Integración contínua con Travis CI
• Código fuente normalizado a PEP8

De todas maneras, puede seguir todas la modificaciones de esta nueva release.

Un agradecimiento a Syhunt.com como sponsor en el desarrollo de esta nueva versión y el apoyo a este proyecto libre, que tiene como fin mejorar la seguridad y asignar niveles aceptables de seguridad a cada proyecto web.

Instalación

Para poder descargar e instalar WPHardening poemos hacer lo siguiente

$ git clone https://github.com/elcodigok/wphardening.git
$ pip install -r requirements.txt
$ cd wphardening/

Están todos invitados a probar las nuevas funcionalidades y reportar mejoras o problemas.

Saludos!

Enlace | WPHardening 1.5 - GitHub

WP-CLI para Auditores II

Una nueva entrada, y la idea de hoy es explorar algunas cosas que WP-CLI trae y que podemos sacar partido en cada auditoría que tengamos que llevar adelante.

Mi primera recomendación, es que siempre tengan presente el modo de instalar WP-CLI, yo soy partidario de descarga la herramienta, utilizarla y finalmente eliminarla, con esto siempre vamos a estar utilizando la última versión y no dejarlo dentro del sistema que quizás nunca más se vuelva a utilizar, esto simplemente es una apreciación personal.

Los comandos y argumentos asociados a WP-CLI son en algunos casos bastante intuitivos y con bastante ayuda dentro de la línea de comandos, de todas maneras y para consultas específicas, lo mejor que pueden hacer es recurrir a la documentación oficial del proyecto.

Nos afrontamos a un proceso de auditoría sobre una instancia de WordPress que aparentemente fue vulnerada o comprometida, ya sea que depositaron algún backdoor o lograron descifrar las credenciales de un usuario y cambiaron la integridad del mismo.

Con el mayor de los recaudo posibles tratamos de sacarla de línea a dicha web pero evitar que los usuarios continúen accediendo, por otro lado realizamos una copia de seguridad de todo el sitio y su base de datos para luego poder reproducirlo en un entorno controlado y poder hacer alguna de las pruebas.

Estaremos o no de acuerdo que este proceso nos va a llevar mas tiempo, o quizás implica asignar el doble de recursos, sin embargo para garantizar un buen trabajo de auditoría y posteriormente una buena restauración de las cosas, es mucho mejor y más cómodo trabajar con esta metodología.

Las auditorías implican conocer un poco más de información sobre lo que estamos trabajando, para este caso es buenos saber las versiones de cada componente y tomar nota de todas y cada una de las cosas.

Afortunadamente WP-CLI esta para ayudarnos y dentro de la instancia de WordPress que estamos auditando podemos ejecutar el argumento core para obtener más información:

$ ./wp-cli.phar core
usage: wp core check-update [--minor] [--major] [--field=<field>] [--fields=<fields>] [--format=<format>]
   or: wp core config --dbname=<dbname> --dbuser=<dbuser> [--dbpass=<dbpass>] [--dbhost=<dbhost>] [--dbprefix=<dbprefix>] [--dbcharset=<dbcharset>] [--dbcollate=<dbcollate>] [--locale=<locale>] [--extra-php] [--skip-salts] [--skip-check]
   or: wp core download [--path=<path>] [--locale=<locale>] [--version=<version>] [--force]
   or: wp core install --url=<url> --title=<site-title> --admin_user=<username> --admin_password=<password> --admin_email=<email>
   or: wp core is-installed [--network]
   or: wp core language <command>
   or: wp core multisite-convert [--title=<network-title>] [--base=<url-path>] [--subdomains]
   or: wp core multisite-install [--url=<url>] [--base=<url-path>] [--subdomains] --title=<site-title> --admin_user=<username> --admin_password=<password> --admin_email=<email>
   or: wp core update [<zip>] [--version=<version>] [--force] [--locale=<locale>]
   or: wp core update-db 
   or: wp core verify-checksums 
   or: wp core version [--extra]

See 'wp help core <command>' for more information on a specific command.

Es importante no intentar actualizar absolutamente nada, estamos en la fase de recopilar todo tipo de información actual.

Para determinar la version de WordPress lo podemos hacer de la siguiente manera:

$ ./wp-cli.phar core version
4.2.2

$ ./wp-cli.phar core version --extra

WordPress version: 4.2.2

Database revision: 31535

TinyMCE version:   4.109 (4109-20150505)

Mientra más detallada sea la información, en muchos casos va a ser mejor.

En un modo paranoico podemos verificar algunos archivos dentro de WordPress para realizar las comprobaciones:

$ cat wp-includes/version.php

Ahora que ya contamos con la información de WordPress, podemos verificar si dentro del core tenemos alguna actualización:

$ ./wp-cli.phar core check-update

+---------+-------------+-------------------------------------------+

| version | update_type | package_url                               |

+---------+-------------+-------------------------------------------+

| 4.3     | major       | https://wordpress.org/wordpress-4.3.zip   |

| 4.2.4   | minor       | https://wordpress.org/wordpress-4.2.4.zip |

+---------+-------------+-------------------------------------------+

Por otro lado, podemos obtener información del lenguaje que se encuentra activo:

$ ./wp-cli.phar core language list 

Aquí, vamos a poder ver un gran listado donde figura el lenguaje, el estado que tiene y su última actualización, mientras continuamos obteniendo más información.

Finalmente, si a la instancia de WordPress se le modificó alguno de los archivos importante, podemos realizar una verificación por medio de checksums y obtener una aproximación del problema.

Veamos los siguiente ejemplos:

$ ./wp-cli.phar core verify-checksums

Success: WordPress install verifies against checksums.

Como se puede ver, la comprobación fue exitosa, ahora les propongo modificar de forma intencional alguno de los archivos que incorpora wordpress, por ejemplo wp-comments-post.php incorporando algunos espacios o saltas de línea, volviendo a realizar la comprobación obtenemos lo siguiente:

$ ./wp-cli.phar core verify-checksums

Warning: File doesn't verify against checksum: wp-comments-post.php

Error: WordPress install doesn't verify against checksums.

Es bueno aclarar un punto, esta verificación por checksums no va a lograr determinar cuando por ejemplo agregamos algún archivo, suponiendo el caso que se agregó en /wp-content/plugins/backdoor.php esto lo va a pasar por alto, por esta razón tenemos que tener mucho cuidado en los reportes y el análisis que vamos a realizar de esta información que vamos recopilando.

Hasta aquí, son temas sumamente interesantes verdad? Buenos los invito a seguir en las próximas entregas.

Saludos!

Google Hacking: Autoconfiguración de Proxy

Estos últimos días, mientras trabajaba e implementaba servidores de Proxy Cache SQUID3, comencé a interiorizarme un poco más en los archivos o scripts de auto-configuración de Proxy.

Todo esto con la idea de que un cliente de nuestra red, tenga la posibilidad de detectar la existencia de un proxy y lograr configurarse automáticamente sin la intervención de una configuración manual.

Ahora bien, la pregunta es la siguiente: ¿Se encuentra disponible estos scripts de auto-config en la Internet? ¿Qué información podría encontrar allí? La realidad es que SI encontramos muchos archivos de autoconfiguración y podemos obtener información de una aproximación de como son los pools de IP Internos, información de Proxy, puertos, etc.

Le agradezco nuevamente a la gente de Exploitdb por publicarlo en estos últimos días y para encontrar estos archivos podemos hacer la siguiente búsqueda en Google:

filetype:pac inurl:"/proxy"

Para obtener un poco más de información técnica de como construir nuestros script auto-config de proxy les recomiendo este enlace de Wikipedia.

Saludos!

Enlace | Exploitdb

Google Hacking: Descubriendo reportes de Sarg

Hace un par de días, publicaron en Exploitdb un pequeño pero interesante dork que encontré dentro de Google, que permite encontrar algunos reportes de Sarg.

Sarg es un excelente analizador de log que parsea y muestra de una forma mucho más amigable un reporte completo de toda la actividad del servicio de Squid, como sistema de proxy dentro de una red lan.

Para encontrar estos reporte, podemos ingresar en google:

inurl:"/squid-reports/" AND intitle:"SARG reports"

Enlace | Exploitdb

Estrictamente secreto y confidencial.pdf.jar

Esta es una crónica que se remonta a principios del 2015, cuando el 18 de Enero de este año, Argentina quedaba conmocionada por la noticia de que el Fiscal Alberto Nisman apareció muerto en su departamento.

Hasta ese momento, todo un trasfondo político, social y que a día de hoy continúan las investigaciones del hecho, sin embargo en el último evento BlackHat USA 2015, realizado el 1 de Agosto, el investigador Morgan Marquis­ Boire realizó una presentación donde explicaba que un posible virus había infectado el teléfono del ex Fiscal Nisman.

En una entrevista que publica el diario La Nación, contó que Nisman fue blanco de un Remote Access Tooklit (RAT), que es un "software que permite a un hacker o a un espía acceder de forma remota a la computadora o el dispositivo móvil de alguien".

Ya se encuentra disponible el paper de Morgan presentado en BlackHat "BIG GAME HUNTING: THE PECULIARITIES IN NATION­STATE MALWARE RESEARCH" y quizas dentro de unos meses podamos contar con el video de su presentación completa.

Por otro lado, este último fin de semana, el periodista Jorge Lanata, denunció que le infiltraron el mismo virus que a Nisma, con lo cuál si esto se comprueba, es una pista más quizás para ir esclareciendo todo este caso judicial que por momentos parece tan confuso y lleno de problemas.

Este fin de semana, el periodista decía lo siguiente:



Con todo esto que estamos viviendo, podemos llegar a pensar lo siguiente. Hoy no existe delito ni crimen si que la tecnología este presente, el mercado del "cibercrimen" requiere cada vez más de profesionales Informáticos Forenses con la capacidad de acercar y recopilar pruebas tan valiosas como la de este investigador.

Saludos!

Actualización de Seguridad en WordPress 4.2.4

Agosto se inicio con una importante actualización de seguridad en el core de WordPress para llegar a la versión 4.2.4

Esta nueva versión de seguridad corrige 6 fallos importantes como 3 fallos XSS, un potencial SQL injection que podría utilizarse para comprometer un sitio.

De más esta decir, que a estas alturas su sitio tendría que estar actualizado para evitar cualquier tipo de posible ataques.

Saludos!

Enlace | WordPress 4.2.4 Security and Maintenance Release

#SysAdmin Feliz día

Hoy es el último viernes de Julio y hoy celebramos el día del Administrador de Sistemas #SysAdminDay

Sin dudas, unas de las profesiones más entretenidas, interesantes y que día a día nos pone a prueba en cada una de las tareas y labores que realizamos.

Si al mundo lo podríamos reducir a un sistema operativo, sintámonos felices por ser root.

Actualización de Seguridad en WordPress 4.2.3

A estas alturas, quizás no sea una novedad como tal, pero en estas vacaciones no quería dejar pasar esta noticia que me parece realmente muy importante y es el lanzamiento de una nueva versión de WordPress 4.2.3 donde según su anuncio, corrige importantes vulnerabilidades.

El equipo de seguridad de WordPress señala que las versiones de WordPress 4.2.2. y anteriores están afectadas por una vulnerabilidad de cross-site scripting que permitiría a usuarios con roles de colaboradores o autores comprometer un sitio.

Además de la corrección de esta importante vulnerabilidad, WordPress 4.2.3 corrige 20 bugs reportados de la versión 4.2

Por ello, no olviden que lo más importante para este caso es tener un WordPress fortificado y por lo menos actualizado a esta nueva versión, por esa razón, todos los que utilizamos este CMS tenemos la responsabilidad de actualizarlo en este momento.

Saludos!

Enlace | WordPress 4.2.3

Instalar y configurar un servidor Bind9

Muy buen tutorial que me gustaría compartir con ustedes, donde Roberto Rodriguez Luna explica de forma detallada la forma de instalar y configurar un servidor DNS con Bind9.

Con esto, todos podemos implementar rápidamente nuestro propio servidor y hacer uso de todas las prestaciones de Bind9

Saludos!

WP-CLI para Auditores I

WP-CLI es una excelente herramienta para gestionar y administrar WordPress desde la línea de la consola sin tener la necesidad de ingresar al Dashboard del mismo.

WP-CLI is a set of command-line tools for managing WordPress installations. You can update plugins, set up multisite installs and much more, without using a web browser.

Por medio de esta serie de Post, voy a comenzar a explicar la forma en que utilizo WP-CLI en mis auditorías en WordPress, además aprovechando a utilizar buenas prácticas para mantener un trabajo prolijo, claro y transparente.

Para poder utilizar la herramienta podemos ingresar a wp-cli.org y lograr descargarlo utilizando los comando wget o curl.

Antes de comenzar a utilizar wp-cli es necesario conocer los requisitos del sistema:

• Entorno UNIX (OS X, Linux, FreeBSD, Cygwin); Soporte limitado para Windows 
• PHP 5.3.2 o superior
• WordPress 3.5.2 o superior

Instalación

Me gusta mucho recomendar este método utilizando el comando curl:

$ curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages/phar/wp-cli.phar

Es importante entender que wp-cli.phar debe estar dentro del directorio raíz en nuestra instancia de WordPress, de esa forma vamos a poder obtener todo el potencial y completo acceso junto a la herramienta.

Rápidamente, le podemos dar permisos de ejecución de la siguiente manera:

$ chmod +x wp-cli.phar

Ahora, podemos obtener información de wp-cli:

$ ./wp-cli.phar --info
PHP binary:     /usr/bin/php5
PHP version:    5.5.9-1ubuntu4.9
php.ini used:   /etc/php5/cli/php.ini
WP-CLI root dir:        phar://wp-cli.phar
WP-CLI global config:
WP-CLI project config:
WP-CLI version: 0.19.2

Esto es solo el inicio, luego vamos a comenzar a trabajar con algunas cosas puntuales. Pero lo primero es el correcto funcionamiento de la herramienta.

Saludos!

[Video] Seguridad en WordPress - #ITTALK

Les comparto el video de la sesión del pasado viernes 26 de Junio junto a Jason Soto (@JsiTech) y Jose Moruno Cadima (@SniferL4bs) compartiendo información sobre el proyecto #WPHardening y alguna demo.

Saludos!

Seguridad en WordPress en #ITTALK

IT Talks es un proyecto encabezado por Jason Soto (@JsiTech) y Jose Moruno Cadima (@SniferL4bs) donde la ideas es compartir en diversas reuniones por Hangouts diferentes tématicas sobre temas de Seguridad Informática, Programación, Linux, Hacking y todo lo que tenga que ver en el universo de la informática.

Tanto Jason como José me invitaron este Viernes 26 de Junio a las 9:00 pm (GMT-3) para compartir y comentarles sobre #WPHardening, la herramienta escrita en Python para mejorar la seguridad de WordPress.

Desde ya están todos invitados a conectarse y dejarme sus mensajes, consultas, etc. y claro a participar de todas las jornadas IT Talks que los chicos están preparando para compartir.

La cita es obligatoria, no se pierdan de este Viernes 26 de Junio a las 9:00 pm horario argentino a estar todos enchufados al nuevo encuentro de IT Talks.

Saludos!

Activar mod_evasive en Apache2

mod_evasive es un módulo que podemos activar en el servidor HTTP Apache y que nos permite proteger nuestro servicio por ataques de fuerza bruta al puerto 80 o las Denegaciones de Servicios, que en estos últimos años se volvieron tan populares.

Es de uso indispensable, ya que lograr configurarlo es sumamente simple y nos puede ayudar mucho en la tarea de prevención de los vectores de ataques mencionados anteriormente.

Para lograr activarlo correctamente en Apache2 utilizando como base un sistema Debian podemos hacer los siguientes pasos:

$ apt-get install libapache2-mod-evasive

Luego, ingresamos al directorio donde se encuentran los módulos disponibles de Apache2

$ cd /etc/apache2/mods-available
$ ls -l

y vamos a ver que se encuentra los archivos evasive.conf y evasive.load

Por otro lado creamos un directorio donde se van a encontrar los log de este módulo

$ mkdir /var/log/mod_evasive

y editamos el archivo evasive.conf quitanto todos los "#" de comentarios. En otro post voy a explicar de forma detallada cada uno de los parámetros que podemos configurar

Finalmente nos queda activar el módulo en apache2 de la siguiente manera:

$ a2enmod evasive
$ /etc/init.d/apache2 restart

Es posible verificar que el módulo se encuentra activo y funcionando de la siguiente manera:

$ apache2ctl -M | grep evasive

Realmente es muy simple, rápido y muy efectivo y a partir del día 0 de la implementación de Apache2 podemos tener el control de este tipo de ataques.

Saludos!

GenerateWP

GenerateWP es un recurso que encontré dando vueltas por la web en busca de nuevas ideas e investigaciones para poder mejorar WPHardening.

Entre tantas opciones que GenerateWP tiene para el usuario, encontré uno que realmente me llamó la atención y tiene que ver con un servicio con el que ya cuenta WPHardening que es un wizard para la creación del archivo wp-config.php para un paquete de WordPress.

Lo interesante de esto es que quizas extiende a más parámetros de los que en WPHardening aplica, pero sin dudas estoy muy ancioso por aprender y ver cada uno de los otros que GenerateWP propone.

La idea siempre fue facilitar al usuario promedio y automatizar algunas tareas de seguridad, para proponer niveles aceptables de seguridad en los proyectos WordPress, esa es la premisa fundamental del proyecto y en esta oportunidad GenerateWP me está brindando muy buenas ideas.

Saludos!

Enlace | GenerateWP

#IaaS Introducción a OpenStack

OpenStack es un proyecto de Cloud Computing que permite desplegar Infraestructura como Servicio (IaaS).

Es un proyecto OpenSource bajo licencia Apache y en este momento se encuentra gestionado por la fundación OpenStack sin fines de lucro creada en el 2012 para promover el uso de esta infraestructura y colaborar con su comunidad.

Es muy interesante el concepto de OpenStack, ya que no hablamos de un solo producto, sino más bien de un conjunto de componentes independientes que en armonía resulta una solución integradora.

De forma visual y para comenzar a tomar contacto con este nuevo concepto, es posible identificar 4 componentes de forma global:

OpenStack Compute

Administra y gestiones las redes de máquinas virtuales

OpenStack Storage

Gestiona un bloque de almacenamiento para el uso de servidores y aplicaciones

OpenStack Networking

Permite gestionar redes IPv4 e IPv6 complejas, con routers y firewalls

OpenStack Dashboard

Desde el cuál se implementa una forma simple de administrar todos estos componentes.

Esta es la primera mirada a esta solución que desde hace tiempo se fue incorporando en diferentes empresas e instituciones para gestionar sus infraestructuras Cloud.

Saludos!

Actualizaciones de Seguridad en Symfony2

Se acaban de publicar las actualizaciones correspondientes para varias de las versiones de Symfony2 que podemos utilizar en nuestros proyectos y que deberíamos utilizar los parches para 2.3.19 a 2.3.28, 2.4.9 y 2.4.10, 2.5.4 a 2.5.11 y 2.6.0 a 2.6.7. La versión 2.7 ha sido corregida en su versión de desarrollo porque todavía no se ha lanzado de manera estable.

Las aplicaciones con soporte de ESI o SSI activado, que usan el FragmentListener, son vulnerables a un acceso no autorizado. Un usuario malicioso puede llamar a cualquier controlador de la aplicación mediante la ruta /_fragment pasando un hash inválido en la URL (o incluso eliminándolo). Esto hace que los sistemas de seguridad que validan el hash no se ejecuten y por tanto se permita el acceso no autorizado.


El FragmentListener lanza una excepción de tipo AccessDeniedHttpException cuando la firma incluida en la URL no es válida. El problema es que después, el ExceptionListener hace una subpetición que lanza de nuevo los eventos del kernel. Como el FragmentListener no firma las subpeticiones, el controlador se ejecuta aunque en la petición original no se autorizó su ejecución. El resultado es que el usuario recibe una respuesta con código 403 y con el contenido generado por el controlador.

La solución implementada añade una comprobación en el FragmentListener para que no se ejecute en el caso de que el atributo _controller haya sido definido previamente. Puedes ver el código del patch en el pull request 14759 de Symfony.

Enlace | symfony.es

Infraestructura como Servicio

Infraestructura como servicio, es una de las formas de sacar partido sobre el concepto de la Nube, por otro lado, proporciones prácticamente ilimitadas a las empresas que necesitan adaptar sus recursos de servidores y almacenamiento rápidamente y por sobre todas las cosas, a demanda.

La infraestructura como servicio (infrastructure as a service, IaaS) -también llamado en algunos casos hardware as a service, HaaS) se encuentra en la capa inferior y es un medio de entregar almacenamiento básico y capacidades de cómputo como servicios estandarizados en la red. Servidores, sistemas de almacenamiento, conexiones, enrutadores, y otros sistemas se concentran (por ejemplo a través de la tecnología de virtualización) para manejar tipos específicos de cargas de trabajo —desde procesamiento en lotes (“batch”) hasta aumento de servidor/almacenamiento durante las cargas pico. 

Conociendo este concepto, me gustaría invitarlos desde el blog a ver y analizar las alternativas que encontramos en el mercado como System Canter, OpenStack, OpenNebula, CloudStack, entre los más populares, para poder implementar IaaS en nuestras organizaciones y lograr consolidar nuestra infraestructura, generando confianza en la robustez, escalabilidad y seguridad.

Saludos!

Ver el historial de comandos en Redis

Redis es un excelente motor de Base de Datos en memoria, basado en el concepto key/value, pero con la posibilidad de utilizarlo con persistencia.

Se trata nada más y nada menos que de este nuevo paradigma de trabajo basado en NoSQL que aporta una mejora en el acceso a la información utilizando estrategias diferentes que las que estamos acostumbrados a utilizar en los modelos relacionales.

Cuando comenzamos a realizar las primeras operaciones dentro de Redis, estoy seguro que nos conectamos con el cliente que trae por defecto llamado redis-cli, que no es más que una consola interactiva con redis para almacenar y consultar las key/value.

$ redis-cli
127.0.0.1:6379>

Para recordar todos los comandos que fuimos ejecutando, Redis almacena en el directorio $HOME de cada usuario un archivo oculto llamado .rediscli_history donde podremos consultarlo en todo momento.

$ less ~/.rediscli_history

Saludos!

Plataforma de Logueo y Monitoreo dinámico

Los sistemas de monitoreo son indispensables en toda infraestructura de servidores, como saber qué componente funciona bien o mal, cuándo es que ocurren los problemas y conocer las estadísticas del funcionamiento es algo que no debemos dejar pasar por alto.

Los chicos de nerdear.la en un tweet me pasaron el enlace de su canal de YouTube para disfrutar algunas de las charlas del 2014 y la verdad que me gustó mucho la charla llamada "Plataforma de Logueo y Monitoreo dinámico" y es por ello que les recomiendo que a medida que vean la conferencia, papel y lápiz en mano por que hay muchas herramientas y mucha data para investigar.

Fantástico verdad?

Saludos!

Actualización de Seguridad y Mantenimiento en WordPress 4.2.2

Abril y Mayo del 2015 son meses que el equipo de desarrolladores de WordPress van a querer olvidar, y esto se debe a la cantidad de actualizaciones críticas reportadas recientemente y que por fortuna gracias a un gran esfuerzo todas lograron ser solucionadas.

Hace muy pocos minutos, se publicó de forma oficial una nueva versión de WordPress 4.2.2 básicamente solucionando dos fallos importantes:

• El paquete de iconos Genericons, que es utilizado en muchos Themes y Plugins, contenía un archivo HTML vulnerable a un tipo de ataque XSS. Esta nueva versión de WordPress escanea de forma proactiva el directorio wp-content para eliminar dicho archivo.

• En las versioes de WordPress 4.2 y anteriores, se encontró un XSS crítico que permitiría a un posible atacante anónimo comprometer el sitio. La versión 4.2.2 incluye una solución integral para este problema.

Por otro lado se aprovecha esta actualización para reforzar el editor visual ante posibles ataques de tipo XSS.

No solamente esta nueva versión corrige los fallos de seguridad mencionados, sino que además corrige otros 13 errores más publicados y que podemos ver en detalle en la lista de cambios.

Por mi parte, me queda verificar si WPHardening, la herramienta para mejorar la seguridad y adicionar algunos niveles de seguridad va a ser compatible con esta nueva versión.

No se olviden de actualizar cuanto antes todos los wordpress hace esta nueva versión para evitar dolores de cabezas futuros.

Saludos!

Enlace | WordPress 4.2.2 Security and Maintenance Release

Actualización de Seguridad en WordPress 4.2.1

Ni bien se publicó la nueva versión WordPress 4.2 "Powel" el pasado 23 de Abril, en las listas de seguridad se comenzaba a escribir sobre una prueba de concepto de un ataque XSS almacenado.

Con el correr de los días, efectivamente se comprobó que se trataba de un fallo de seguridad que incorporaba la última versión 4.2 y que comprometía de forma absoluta a las web creadas con este CMS. En donde un posible atacante podría almacenar códigos XSS en los comentarios.

Afortunadamente ya se encuentra solucionado el problema y está listo para actualizar a la versión más reciente 4.2.1 de forma inmediata para evitar este tipo de problemas.

Saludos!

Enlace | WordPress 4.2.1 Seurity Release