Felicidades para este 2017!

No quería dejar pasar esta oportunidad para celebrar junto a todos los lectores de este, mi pequeño espacio donde me gusta hablar (escribir) sobre lo que tanto me gusta y que es la seguridad informática.

Figura 1: Feliz 2017

Levantar una copa de sidra, agradecerles por acompañarme en este año tan intenso, de mucho trabajo y sueños cumplidos, como el lanzamiento de mi primer libro "Máxima Seguridad en WordPress" por 0xWORD, conferencias compartidas y tantas cosas más.

Brindemos por que se va un gran años pero este 2017 va a ser aún mejor si es nuestro propósito y nuestro objetivo.

Desde aquí, Cacería de Spammers, muchas gracias por su compañía, voy a seguir compartiendo mucha más información desde Jujuy - Argentina. Les envío un abrazo muy grande a la distancia!

Feliz 2017!!!

Daniel Maldonado.

Backdooring CAN Bus for Remote #CarHacking por @holesec y @UnaPibaGeek

La siguiente conferencia que quería recomendar son de aquella que quedan en el recuerdo, no solamente por que está a cargo de dos grandes investigadores sino también por que llevan una línea de investigación muy interesante y de allí se puede derivar otras investigaciones más profundas.

Backdooring CAN Bus for Remote Car Hacking

Esta conferencia fue realizada el segundo día de la Ekoparty 2016, en donde Claudio Caracciolo @holesec y Sheila Berta @UnaPibaGeek demostraron como por medio de CAN y algunos gadget más pueden llegar a tomar control remoto de un auto.

En 1986, la firma alemana Bosch presentó el protocolo CAN (Controller Area Network) cuyo desarrollo, en sus inicios, se enfocó en suplir las necesidades existentes en el área de la automoción respecto de la conectividad entre los diferentes sensores y módulos de control electrónicos en los automóviles. Actualmente y desde el 2008, la mayoría de los fabricantes de vehículos implementan en ellos el protocolo CAN. Sin embargo, la seguridad es dejada de lado por tales fabricantes, y es una realidad que dicho protocolo en sí mismo no implementa contramedidas respecto de ataques que podrían afectar al comportamiento normal de los módulos operando a través del bus CAN. El presente trabajo pretende exponer el riesgo de seguridad real para los usuarios de automóviles, mediante el desarrollo de un hardware backdoor de las Naciones Unidas que utiliza el conector OBD-II para inyectar tramas en el bus CAN, las cuales están preestablecidas para alterar el comportamiento de módulos específicos (tales como el control de las luces y otros sistemas del automóvil), según las órdenes recibidas remotamente por un atacante.

Saludos!

Feliz Navidad 2016.

Muchas gracias a todos y cada uno de ustedes que en estos 5 años nos acompañaron en Cacería de Spammers. Simplemente desearles un buen encuentro junto a sus familias y amigos.

Feliz Navidad! y un gran abrazo a la distancia de mi parte!

Happy Hacking.

#Hackadata Jujuy 2016

Este Viernes 16 y Sábado 17 de Diciembre, los invito al primer #Hackadata Jujuy 2016 que se va a llevar adelante en el centro "Infinito por Descubrir", allí los chicos que organizan este evento me invitaron para dar una charla sobre "Seguridad y Hacking en la Nube". Además se va a llevar adelante un Hackaton y varias actividades más junto a un gran amigo como Emiliano Piscitelli.

Un espacio colaborativo para desarrollar y proveer herramientas y soluciones tecnológicas innovadoras que permitan que ONGs, gobiernos, emprendedores sociales y privados y demás organismos de cooperación mejoren su desempeño en sus respectivas áreas de trabajo, optimizando sus capacidades.

#Hackadata Jujuy 2016

Figura 1: #Hackadata Jujuy 2016

Cronograma Actividades

Viernes

14:00 a 14:30 Check In - Acreditaciones

14:30 a 15:00 Presentación y Apertura del Hackadata

15:00 a 16:00 Seguridad y Hacking en la Nube Daniel Maldonado - Cacería de Spammers

Los servicios en la nube son tan conocidos como indispensables en las empresas de hoy, con el objetivo de lograr una rápida escalabilidad y disponibilidad de los sistemas de información y en los servicios que éstos brindan.Sin embargo, en el mundo de la seguridad informática se abren nuevos riesgos, peligros y desafíos.Esta charla tiene el objetivo de cubrir los aspectos fundamentales y básicos sobre el Cloud Computing, a la hora de contratar y posteriormente desplegar servicios webs en la nube, mostrando los diferentes riesgos que sufren los servidores y sus posibles vectores de ataques, dejando un marco introductorios de los servicios de Cloud actuales y una introducción a la Seguridad Informática aplicada a los sistemas web.

16:00 a 18:00 Una vida para construir una marca y solo 5 minutos para perderla Emiliano Piscitelli - VHGroup

Las empresas invierten mucho dinero, tiempo y por sobre todo esfuerzo en construir una marca, para ello cuidan cada detalle del producto o servicio que presten, como así también dedican inversiones en marketing y publicidad para posicionarse dentro del mercado. En lo que a seguridad respecta, muchas veces se invierte dinero en cuidar algunos activos, ya sea contratando guardias, instalando cámaras de seguridad, controles de acceso, custodiando los productos, etc. Pero generalmente no se le presta mayor importancia a los activos más importante que puede tener cualquier empresa: "Las Personas y La Información". Por “prestar mayor importancia” no nos referimos sólo a capacitaciones o al resguardo de los datos (Backups) sino a mucho más que eso. El objetivo de esta charla por un lado es mostrar cuán vulnerable puede ser una empresa y cuán expuesta puede estar nuestra información, pudiendo solo en algunos minutos perder esa marca que tanto costó construir y en consecuencia mucho dinero también, y por otro demostrar que al menos aplicando unas pocas medidas podemos reducir estos riesgos considerablemente

Sábado

08:30 a 09:00 Check In

09:00 a 9:30

• Charla Introductoria Hackathon
• Presentación Desafío
• Presentación del Jurado
• Presentación de la plataforma Hackdash

09:30 a 17:30 Hackathon

17:30 a 18:00 Entrega de Premios

Desafío Hackadata

Problemática: Dada la creciente necesidad de hacer transparente la información a los ciudadanos, se pone a disposición de la comunidad las ordenanzas municipales de manera digital y uso libre siendo ésta información pública.

Desafío: Desarrollar soluciones innovadoras para hacer llegar información de interés para la sociedad, de manera ágil, masiva y útil, estableciendo canales de consulta y participativos entre los usuarios y el Concejo Deliberante de San Salvador de Jujuy.

Lineamientos:

• Multiple plataforma.
• Diseño Atractivo.
• Orientado al Ciudadano, permita la participación, como por ejemplo, un comentario sobre una ordenanza en particular.
• El contenido de las ordenanzas tiene que ser accesible y amigable con el usuario.
• Durante el Hackadata Jujuy 2016, los participantes podrán hacerlo individualmente o formar equipo de miembros con un máximo de CINCO (5) personas

Premios

Los premios serán entregados por el CoLaboratorio de Innovación Tecnológica, y consistirán en lo siguiente:

• 1er premio: Raspberry pi 3
• 2do premio: Tablet
• 3er premio: Libro de programación "Aprendiendo C++ Para Linux En 21 Dias"

"Además, no tienes que tener miedo a asistir a un hackathon por no tener conocimientos de programación, pues siempre se puede echar una mano en aspectos de diseño gráfico, documentación, corrección de textos, búsqueda de errores…"

Registra tu entrada Gratis!

https://www.eventbrite.com.ar/e/hackdata-jujuy-2016-pensando-soluciones-de-manera-colaborativa-tickets-30168975217

Buscar páginas de administración con #BLACKBOx

BLACKBOx es una interesante herramienta de auditorías para la web, con algunos módulos para activar y utilizar en la búsqueda y explotación de vulnerabilidades.

Una interesante funcionalidad de BLACKBOx es la posibilidad de buscar las páginas de administración por medio del módulo "Admin Page Finder" (admin_brute) por medio de fuerza bruta basado en diccionarios que la herramienta incorpora.

Se puede obtener más información sobre el módulo admin_brute de la siguiente manera:

$ python2 blackbox.py admin_brute -h

Además de especificar la URL -u/--url es necesario aclarar si la web está creada en PHP --php, en ASP --asp, etc de esa manera utiliza los diccionarios especificados para cada lenguaje.

De esta manera y conociendo esta información, se puede ejecutar BLACKBOx de la siguiente forma:

$ python2 blackbox.py admin_brute -u http://miweb.com.ar --php

Muy buena herramienta y simple de implementar para iniciar y buscar información de las webs objetivos en el proceso de pentesting.

Saludos!

Enlace | BLACKBOx Penetration Testing Framework

Como entender e implementar #HSTS y #HPKP

HSTS y HPKP se han convertido en poco tiempo en mecanismos de seguridad web que programadores, auditores y usuarios debemos conocer. Ésto es una medida más que podemos implementar para el correcto funcionamiento de protocolos https utilizando ciertas configuraciones en los servidores web y compatibilidades con los navegadores.

HTTP Strict Transport Security (o Seguridad de transporte HTTP estricta) HSTS es un mecanismo de política de seguridad web según la cual un servidor web declara a los agentes de usuario compatibles (por ejemplo, un navegador web) que deben interactuar con ellos solamente mediante conexiones HTTP seguras (es decir, en capas HTTP sobre TLS/SSLnotas 1 ). La política HSTS especifica un período de tiempo durante el cual el agente de usuario deberá acceder al servidor sólo en forma segura.

HTTP Public Key Pinning (HPKP) es un mecanismo de seguridad que permite a los sitios web que implementan HTTPS resistir la suplantación por parte de los atacantes utilizando certificados falsos o fraudulentos y los ataques Man-in-the-middle.

En esta primera oportunidad, Diego Espitia @dsespitia en uno de los eventos #11PathsTalks nos muestra una interesante introducción a HSTS y todas las configuraciones que se puede implementar en los diferentes servidores webs.


Por otro lado, hace apenas un par de días, se llevó a cabo una nueva edición de CiberCamp 2016 organizado por INCIBE, allí participaron Carmen Torrano @ctorranog junto a Pablo González @pablogonzalezpe en un taller llamado HSTS & HPKP: Batman y Robin para defender la navegación web. En donde Carmen como Pablo por medio de diferentes ejemplos nos muestra las diferencias entre HSTS y HPKP, los riesgos, vulnerabilidades y algunas cosas más.


Además se encuentran las diapositivas para seguir junto a los chicos el paso a paso de cada una de las demostraciones y los ejemplos que proponen.

HSTS & HPKP. Los Batman y Robin de la seguridad web de ElevenPaths

HSTS y HPKP son dos temas muy interesantes para continuar investigando, implementarlos y buscar nuevas amenazas.

Saludos!