martes, 26 de junio de 2018

Generación de diccionario de usuarios tipo jmolina@ gracias a linkedin scraping.

Estimados amigos de Inseguros !!!

Una de las opciones que tenemos a la hora de realizar un pentest o auditoria es la fuerza bruta.

Debemos detectar aquellos sistemas que no protegen de ataques de este tipo, pero debemos ir un paso más allá e intentar demostrarlo mediante la obtención de una clave válida.

Ahora vamos a imaginarnos un escenario de auditoria bastante común en las empresas, los nombres de usuario.

Conoces alguna empresa en la que la nomenclatura del usuario sea napellido@  o n.apellido@ ?

Contar con un diccionario de este tipo sin duda te ayudará para detectar usuarios.

Si a esto le sumas la capacidad de usar las redes sociales corporativas, como pueda ser Linkedin, para realizar un proceso de búsqueda de empleados que trabajan en la empresa objetivo, podemos crear un diccionario de usuarios más acercado a la realidad que uno descargado de internet con los ene mil nombres de usuario más comunes...



Para realizar la tarea de scrapping linkedin puedes usar esta herramienta muy cómoda.

https://github.com/test4a/linkScrape

No usa ni API ni nada sofisticado, te pide tu usuario y contraseña linkedin para poder acceder...



Ahora podemos usar la magia del lenguaje de programación que más te guste para combinar nombres y apellidos en una lista usable.

Durante varios procesos he creado una lista con nombre +apellido de los apellidos más habituales, creo que es útil para completar con tu proceso de scrapping de linkedin.

Si quieres descargar mi lista la tienes en mi github:

https://github.com/kinomakino/hackingtools/tree/master/diccionarios

Espero que te sirva !!!

Gracias por leerme !!


miércoles, 6 de junio de 2018

Usando DefectDojo para control de vulnerabilidades

Estimados amigos de Inseguros !!!

Cuando ofrecemos servicios de auditoría o pentesting, o incluso como cliente te planteas hacer un proyecto de este tipo, es indudable que aparezca el temor a que el resultado del trabajo sea un entregables, en papel, más o menos bonito, con un montón de hallazgos y soluciones, pero escasas herramientas de tracking de cambios.

En algunos clientes se acompaña el trabajo de auditoria con el trabajo de gestión del proyecto global, incluidos los resultados. Me eeeeeexplicoooooo.



Si en una auditoría se detecta la necesidad de hacer una actualización puntual, se crea un ticket en la plataforma de incidentes del cliente ( o nuestra) para poder establecer un control sobre la remediación. Qué persona se va a encargar, cuando, como, rellenar una KB, etc etc.

A las malas malas malas, estoy hablando de usar ese libro gordo de petete del resultado de la auditoría, e ir "tachando" qué se va a haciendo !!!

Una de las cosas que se mide en la mayoría de normativas de seguridad y certificaciones es el control de las auditorias. Bueno, en primer lugar es que la organización pase auditorías, pero lo segundo es que se vayan controlando los cambios y solucionando los hallazgos.

Para meternos más en este mundo, voy a comentar una aplicación que he visto por las redes sociales que me parece muy interesante para esta gestión. Quizás más interna por lo que veremos ahora, pero vamos paso a paso y vamos a instalarla. Me refiero a DEFECT DOJO.

Como en todo lo "moderno", podemos usar contenedores tanto en Docker como en vagrant, pero yo soy de montarme mi máquina virtual en Azure e instalar desde cero.

El proceso es sencillo, instala Mysql y corre el script de instalación. Nota mental, en las nuevas Debian 9 mysql es Mariadb, y hay alguna librería de desarrollo que cambia y da problemas, asegúrate de montar el aplicativo sobre Mysql.

También tendrás que permitir los allowed_host para la app en django y poco más...


Vamos a hacer uso de las integraciones que nos trae el framework de casa.



Vamos a crear un producto, vamos a establecerle unos test y vamos a subir un report de Burp con una Sql Injection.



Como se aprecia en la imagen, se adquiere la información de Burp y se pueden añadir imágenes.

El framework permite añadir una plantilla para cada tipo de elemento, lo típico de nuestro trabajo de tener el texto en castellano con nuestra explicación...

Sin duda es una herramienta con mucho potencial, gracias a su integración con JIRA y la gestión de tickets.

Voy a darle unas pocas vueltas y otro día vemos más cosas.

Un saludo, gracias por leerme !!!


Aquí te paso un video de una demo por si te interesa ampliar información:

https://youtu.be/3Voscdxg4FA

viernes, 18 de mayo de 2018

VEO TRELLO, que ves ? Una cosita... y qué cosita es: Indexado de paneles públicos muestra información sensible

Estimados amigos de Inseguros !!!

En el post de hoy voy a mostraros un pequeño truco de búsqueda en Google, ya sabéis, un DORK que publicó hace unos días el señor https://twitter.com/xKushagra/ en donde podíamos buscar información indexada por Google en tableros PUBLICOS mediante el sencillo DORK: inurl:https://trello.com AND intext:COSAS.

Para los que no lo sepan, Trello es un servicio en la nube que permite crear paneles de trabajo con distintas etiquetas, fases, al estilo de soporte para metodologías Canvas. Es muy potente y tiene muchas opciones.

Antes del contenido, un poco de chapa. Cuando usamos servicios en la nube como este o cualquier otro, confiamos en la seguridad del proveedor. Es MUY importante saber con quien estamos operando y cual es su nivel de madurez respecto a calidad del servicio y seguridad.

Estoy harto de ver gente con servicios low cost implementados en empresas y que luego adolecen de tremendos fallos, tanto de productividad, disponibilidad como de seguridad.

Al final todo en esta vida se paga, y cuando te vas a un proveedor de soluciones en la nube potente, la diferencia suele ser abismal. En este caso ha sido solo un pequeño "fallo de concept" en permitir a Google indexar el contenido, aunque mirándolo bien, es el usuario el que publica Paneles de manera descontrolada... El resultado es peligroso y doloroso para algunas organizaciones. Es que las empresas no buscan su nombre en Google todos los días?...

Probando cosas de mi región encontré panales graciosos:



Esta gente sospecho que ha tenido algún que otro incidente de seguridad en el pasado o gatillazo :-)

Otro panel curioso que he visto es el de una periodista Mexicana que va recopilando información y luego escribe post para distintos medios. Sería gracioso inventar alguna noticia y hacerle el desarrollo hasta ver donde llega xD...


Un panel entretenido también y peligroso es este, un sistema de gestión de mutuas o similar en desarrollo en el que trabajan con datos reales, datos de salud, partes de accidentes, ingresos y demás.



Más de lo mismo





Como puedes ver, hay información de todo tipo.

Solo es cuestión de jugar con la palabra que buscas y echarle un ratito.

Espero que busques bien tus empresas, datos y contactos y sobre todo, se consciente del riesgo que tiene publicar información en servidores ajenos.

Gracias por leerme !!!

domingo, 28 de enero de 2018

Azure App para IOs. Tu mundo Azure en la palma de tu mano...

Estimados amigos de Inseguros !!!

No va a ser este el primer ni último capítulo del que habla de las bondades del usar el cloud, en sus distintos proveedores, y en particular el que más manejo y me gusta, Azure.

Al final todo suma, y al igual que cuando compramos un coche, no solo nos importa el motor, sino que apreciamos o valoramos en gran medida los "extras", con la gestión del cloud y la facilidad de uso ocurre lo mismo.



En esta mini entrega voy a enseñaros la aplicación para móvil Iphone de Azure.

Tomando como referencia algunos listados, varias entidades coinciden en que el top 5 proveedor de cloud más importantes ofrecen sus servicios básicos de gestión mediante aplicación móvil, habrá que probarlos.

El orden de importancia, facturación, implementación, popularidad suele ser este:

Microsoft Azure. Aplicación móvil.
Amazon Aws. Aplicación móvil.
Ibm. Aplicación móvil.
Salesforce. Aplicación móvil.
Sap Google quiero meter yo :-) . Aplicación móvil.

Es curioso porque lo he comentado con varios usuarios de Azure y no todo el mundo la usa.

Qué se puede hacer? pues ver toda la gestión de subscripciónes, el estado de tus servicios, objetos, operaciones básicas como apagado/encendido y gráficas de rendimiento. Imagino que poco a poco podremos recibir alertas y hasta crear recursos, pero de momento es un buen "featuring".

Unas imágenes mejor que mil palabras.





Espero que os sirva de ayuda, y como siempre, gracias por leerme !!!



sábado, 27 de enero de 2018

Ser autónomo en España. Prepárate...

Estimados amigos de Inseguros !!!

Cabreo, cabreo al cuadrado, cabreo al cubo !!!

Comienza el año y se cierran ejercicios fiscales del anterior. Llegan las prisas, las llamadas del asesor y los disgustos.


Voy a explicar un poco como va el tema del autónomo, porque sé que muchos lo estudian, se que el gobierno anuncia a bombo y platillo rebajas, ayudas, incentivos, y todo el circo que hay alrededor del circo del emprendedor.

Cuando uno se hace autónomo, tiene que pagar sus seguros sociales, lo que te hace ser persona, lo que te hace que haya paro, pensiones y no se cuantas cosas más. El mínimo son 270€ por una cotización de 950€ al mes. Esto quiere decir que si ganas 1000€ o 123.000€, cuenta cómo 950€ mes. Como es lógico, es la opción más usada, al menos al principio.

El gobierno tiene rebajas de 50€ el primer año creo que es ahora, y el segundo año paulatinamente va subiendo. Perfecto, esta ayuda es real y tangible, pero no lo olvides, tu cotización no serán tus números de actividad, serán 950€/mes/270€.autonomo.

Ahora va el IVA, esto es más sencillo de lo que parece. El IVA no es tuyo, es de los españoles. Si tu cobras 2.000+ IVA el iva tienes que darselo al estado, es suyo. Como eres una "empresa" o más bien una compresa diría yo, puedes hacer lo siguiente: yo compré un ordenador por 1.000€+ iva. compré una licencia de photoshop para hacer mis montajes, 600€ +iva. Tu ya has pagado por ese iva, por lo que debes restar al iva de tus ventas que debes pagar a Montoro. Sencillo. Iva que vendes - ivas que compras= iva que tienes que pagar.

10.000+iva de ventas= 2.100 que debes de pagar.

Si has compras cosas para tu trabajo por valor de 10.000 +iva= 2.100 que ya has pagado en la tienda.

Total a pagar= 0 de IVA.

Queda claro que el IVA no cuenta en los negocios, no a este nivel. La gente dice " es que luego a ti te devuelven el iva.." y cosas así... Vuelve a la regla de atrás y respóndete.

Ahora entramos en lo marronero, hasta ahora la cosa es fácil. Puedo desgravarme el tabaco que fumo en el trabajo porque lo necesito para el trabajo? puedes hacerlo !!! eres libre de poner en los documentos lo que quieras, pero no es legal. En una inspección te diría el tipo: es usted un fumador profesional? le pagan por fumar? está usted inscrito como fumador? Por supuesto que todo lo que hubieras desgravado tendrías que devolver, más una multa.

Más cosas: las comidas? todo el mundo sabe que si sales a comer por ahí, puedes desgravar la comida, da igual donde comas, en un menú o en una estrella Michelín. Da igual que seas tu, o tu y 3 clientes. Puedes hacerlo, pero lo mismo, llegará hacienda y te dirá: puedes desgravarte 15€ al día...

Te voy a seguir comentando cosas, que son las que yo CREIA o escuchaba,  o incluso me dice la gente, los que no saben o los defraudadores. El coche. Hacienda dice que el coche no se desgrava si no constituye tu nucleo productivo. Ejemplo: taxista, repartidores, chofer, etc. Estos si que usan el coche como herramienta. La gente dice, pero claro, tienes que ir a trabajar en coche, tienes que ir a ver clientes en coche, YA, sí, y qué parte del coche es para ti y qué parte es para la actividad?. Solo lo usas de lunes a viernes o te vas de vacaciones? Hacienda no es tonta, y COMO MUCHO puede ser que te deje desgravar la mitad del coche, NUNCA ENTERO, y el que te diga que sí mienta y es un defraudador, o lo pillaran o ira al infierno xD.

Hasta ahora está claro no? el concepto de desgravar que he introducido hace relación a lo del IVA, a que si vale un portátil 1500 + iva puede descontar 315€ de lo que tenga que pagar por mis ventas.

Aparte, la desgravación tiene otro concepto. El resultado anual de tu actividad, por decirlo de alguna manera.

TODOS los españoles, autónomos a o no, pagamos IRPF. Los que teneis nómina lo sabeis, es esa diferencia entre el bruto y el neto. Cuanto más ganas, mas retención tienes.



Quien paga ese IRPF? lo pagas tu o la empresa? depende como lo veas. Si piensas que tu sueldo  el bruto que negociaste y que no percibes porque te quitan el irpf, lo pagas tu. Si no piensas en eso, y al final piensas solo en el líquido a percibir, que es lo que te ingresan en el banco, lo paga la empresa...

Realmente lo pagas tú, a través de la empresa, por eso los sueldos los debes negociar en bruto/año.

Bien, según cobras más, pagas más. Mola !! es algo lógico. Moral !! pero cuánto? cuánto de moral?


Esta tabla es aproximada, porque habla de base imponible y el sueldo se divide en varios conceptos. Además, hay una variación según tienes hijos o no, según donde vives, minusvalias, etc, pero en términos generales, es así.

Parece lógico no? quien más tiene más paga? pero... para eso está el concepto de %, quiero decir.
si ganas 10.000 y pagas el 15%, si ganas 20.000 y pagas el 15%, si ganas 50.000 y pagas el 15%, ya está pagando más quien más tiene... este modelo es injusto, y da como resultado lo que tenemos en España, mucho dinero negro porque se penaliza MUCHO ganar dinero. Ahora todos estaremos pensando en D. Amancio y las grandes fortunas... no no, voy a demostrar aquí que no es así, y que es injusto.

Sin desviarnos más del tema, como autónomo que eres, tienes que pagar eso, por lo que hacienda te dice: págame en cada factura el 15% y luego a final de año ya veremos. Bueno, eso no te lo dicen, te dicen: NUEVA REBAJA FISCAL para autónomos, 8% para los nuevos, 15 % para los no nuevos... pero esto no significa eso, significa que eso es lo que tienes que pagar en cada factura... luego viene el final de año...

Recordamos más cosas, que ganes 10.000/100.000... para el paro o jubilación estás cotizando 950€...cuando estás pagando un disparate de impuestos.

Cuando eres empresario y eres tu el que paga a los empleados, PASA lo mismo, porque lo que no pagas de irpf lo pagas en seguros sociales, o al revés, y que pasar pasta de empresa a persona cuesta dinero, pero eso sería otro artículo.

El gobierno hace publicidad FALSA diciendo que te quietes el 15% de IRPF para los autónomos !!! yujuuu, pero eso una estimación de que vas a ganar 10/12.000€ Si vas a ganar dinero, esa afirmación es mentira por lo que fomentan el mil euorismo legal. La media de facturación de los autónomos es de mas o menos esas cantidades por que? Si me obligas a quitarme el 15% de cada una, yo voy facturando para que al final de año el glogal se quede en ese tramo, y el resto lo hago en negro, porque es una putada que en junio del año siguiente me pidas dinero de lo que gané el año anterior.

Esto es la REALIDAD de la calle, y no me cabe duda de que si fuera más barato declarar el dinero, más dinero se declarará porque al final la gente no es mala, CREO que a nadie le gusta defraudar, y todos entendemos que hay que contribuir, pero el gobierno lo tiene que poner fácil. Insisto, de ganar 40.000 € a pagar la mitad, es UN ROBO, no es el caso de Messi o Ronaldo, por lo que la gente al final, en negro !!! Aquí entra la corriente política de cada uno y su situación, pero está demostrado que en los países donde se pagan menos impuestos se recauda más... curioso...

Si cuando viene el fontanero a casa te dice 200 o 240 con factura? estás EMPUJANDO a que diga 200. Sin embargo si fuera , 200 o 215? todo el mundo querría la factura. por la legalidad, moralidad, por garantía, etc...

Solo quiero manifestar mi enfado y unos números que no son los míos, pero que muestran como en España te castigan por ganar dinero, cifras pequeñas, o relativamente pequeñas. Si ganas 1.000€ seguro que te sonarán a escándalo todo esto, pero es que si ganas 1.000€ estás bien jodido, la solución no es joder a los demás.

Si puedes, no te hagas autónomo, no te hagas emprendedor, no te creas NADA. Como más tranquilo se vive es con un salario fijo y dos o tres pagas extras al mes. Los autónomos en España están castigadísimos y no reciben una mierda.

Gracias por leerme, necesito pasta :-)









Related Posts Plugin for WordPress, Blogger...