martes, 29 de diciembre de 2015

Señor !!! el antivirus no ha roto su microondas !!! Entrevista al Director de Soporte de Eset España !!!

Estimados amigos de Inseguros !!!

Os invito a visitar el blog de Eset Protegerse para leer una entrevista simpática con el director del departamento de soporte. Nos cuenta como es el día a día en un departamento "tan delicado" y por supuesto nos cuenta anécdotas divertidas.

HACKING

http://blogs.protegerse.com/laboratorio/2015/12/29/entrevista-a-david-sanchez-director-depto-soporte-eset-espana/

Espero que os guste !!!

lunes, 28 de diciembre de 2015

Inteligencia colectiva? Threat Intelligence? Atento a la serie

Estimados amigos de inseguros !!!

Si te interesa la inteligencia colectiva, el Threat Intelligence, los IOC´s y sus distintos estándares, etc. Estate atento a esta serie de artículos que estoy escribiendo en el blog de Eset sobre esta materia.


Durante la seria analizaremos las fuentes de información abiertas y gratuitas que hay para aprovecharnos del conocimiento de actividades maliciosas en la red, para nuestra defensa.

Veremos software tanto para compartir, como para usar esta información, añadiendo esta a nuestros IDS, Firewalls, y demás.

Espero que os guste la seria y perdonar por la referencia cruzada con el blog de Eset !!!

http://blogs.protegerse.com/laboratorio/2015/12/28/inteligencia-colectiva-aplicada-a-la-seguridad/


Un saludo amigos !!!

jueves, 24 de diciembre de 2015

Feliz Navidad, Feliz Año Nuevo y sobre todo, gracias por estar ahí !!!

Estimados amigos de Inseguros !!!

Esta frase me ha servido durante estos años para iniciar mis artículos, pero realmente os siento así, como mis amigos, aunque en la mayoría de las ocasiones sea a través de TCP/UDP...

Se acaba el año 2015, y como suele ser costumbre, aprovecho la ocasión para realizar las típicas reflexiones de final de año, propósitos para el año nuevo, y aunque no soy muy "festivo" pero son fechas de paz y amor :-).
El año 2015 empezó el 1 de enero, pero para mi el mayor hito fue mi incorporación laboral a la mejor empresa de AntiVirus del mundo, Eset España. Gracias a todos los compañeros por el fabuloso trato que he recibido y espero recibir muchos años. Como siempre ya sabéis que para cualquier cosa relacionada con Eset, productos, ayudas, consejos, cualquier cosa, me tenéis por aquí y por el correo corporativo.

Otra de las alegrías que me he dado este año a nivel laboral ha sido el nombramiento de Microsoft MVP. Recuerdo estar sentado en NavajaNegra/Conectacon y recibir el correo. Mi primera impresión fue: panda de trolles !!!! cuando verifiqué el correo casi me da algo.

El premio MVP me hizo mucha ilusión, ya que es un reconocimiento a mi implicación en la difusión de las tecnologías Microsoft. Ya allá por el año 2000 trabaje mucho en los foros de TECHNET cuando existía un protocolo de red para ello :-). MUCHAS GRACIAS MICROSOFT.


No se si a raíz del premio, por casualidad, o por el destino, estoy abriéndome paso con otra empresa puntera en el sector Sureste de España, CLAVEi.  Desde aquí mi más sincero agradecimiento por el trato hasta la fecha y ojala trabajemos muchos años juntos.

He estado en varios eventos por toda España, conferencias, reuniones, eventos de empresa... en los que he hecho grandes amigos, y he podido comprobar que la mayoría de mis amigos dentro de la comunidad siguen bien. Qué yo recuerde ahora, todos mis amigos están trabajando en más o menos lo que les gusta. ENHORABUENA A TODOS LOS QUE HABÉIS CONSEGUIDO TRABAJO EN ESTE 2015 !!!!

En la referente al blog, este año no he entrado en la apuestas para los premios bitácoras como otros años, pero realmente me ha dado igual. Todos los años compruebo que por pocos votos "que compres" ( amigos, familiares, alumnos...) enseguida subía de posición, lo que me hacía pensar que realmente los votos efectuados eran pocos.

Esta año hice un experimento con el blog de un amigo que no tiene visitas, no tiene actividad, pero dedique mi esfuerzo en que todo mi círculo votará a este blog xD. Hicimos el cálculo aproximado y nos dimos cuenta de lo que era evidente, el impacto de los premios en la comunidad es MÍNIMO. No obstante, es mi opinión personal, y felicito a todos los que aparecéis en la lista, sea cual sea la posición.

Los mejores blogs para mi son los que aparecen en mi fichero OPML para feedly. Si tienes un blog y quieres publicitarlo o se me ha escapado, POR FAVOR, dímelo !!

En el blog he escrito 58 artículos, lo que da una media de cada 6,2 días uno. ESTOY muy muy contento con el ritmo, ya que considero que mis artículos requieren de un trabajo, de instalaciones, pruebas, configuraciones, estudios ampliados,etc, Quizás comience el 2016 con más noticias y opiniones, o quizás no. Las visitas las tengo igual, unas 600/800 al día. los días de artículos el doble. Si algún medio conocido me menciona o parecido, se multiplica por 3. GRACIAS POR TODAS Y CADA UNA !!!.

Los artículos que mas me gustan a mi, curiosamente, no son los que más visitas tienen. La gente quiere HACKING !!! pero yo quiero otras cosas :-).

Aquí algunas de las entradas que más me gustan.

La página con los libros favoritos es una de las más buscadas por los motores, debido al SEM y SEO y esas cosas xD . Realmente tengo esta parte un poco dejada ya que lo que hago ahora es colocar el link directamente en Twitter.
Hablando de Twitter, Twitter ha muerto? Desde que me metí en el canal maloso, hackers, juancker, golfo, sinverguenza, con estilo de la SiberComunidad Hacker de habla hispana, tengo que reconocer que veo más el TELEGRAM que el Twitter... Si quieres estar al tanto de todo lo que ocurre en la escena underground del hacking, o simplemente decir tonterías, poner fotos de tu gato, o cansar a la gente con que soy de Murcia (cada uno cansa con lo que quiere xD) este es el link. 
Espero que haya quedado claro mi agradecimiento a todos los que de alguna manera u otra me ayudáis, apoyáis este mini proyecto que es Inseguros, un blog para compartir mis pequeños conocimientos en el mundillo y sobre todo para que los más novatos tengan referencias para sus trabajos. A partir de Inseguros, Google es tu amigo !!! 

Gracias por leerme  !!!


martes, 22 de diciembre de 2015

Rita la bailaora? no RITA: Real Intelligence Threat Analysis.

Estimados amigos de Inseguros!!!

Si vives o frecuentas mi país, España, puede que hayas oído un dicho popular muy extendido " esto lo va a hacer RITA". ¿Quien es Rita? A raíz de documentarme para este post ya se porque se dice, y tu quieres saberlo, solo tienes que leer aquí :-)


En esta ocasión no vamos a hablar más de refranes populares ni de estrellas del flamenco.

Vamos a analizar la herramienta RITA, Real Intelligence Threat Analysis publicada por el señor Jhon Strand. Partimos de la base de la lectura oficial del lanzamiento de la herramienta para hacernos una idea, eso si, en el idioma del Fish&Chips, y no de Rita la bailaora xD.

¿Qué es RITA? Para ponernos en situación os invito a leer la información que apareció en este blog sobre Threat intelligence, Collective Intelligence Framework, PassiveDns, Malcom y el excelente artículo del profesor Lorenzo en Security By Default sobre MalTrail.

El framework de Rita pretende ser un punto de trabajo para los equipos de detección de amenazas para ayudarnos a encontrar IOCs, Indicators of Crompomise en caso de ataques o infecciones. Detectar patrones de conexión hacia C&C puede ser más efectivo que crear una regla de IDS, la cual puede ser evadida mediante sutiles cambios...y lo sabes !!! xD

Una de las cosas que me gusta es que usa ElasticSearch como motor de almacenamiento, y Kibanna para su representación. ¿Se considera esto Big Data? :-)

Para destripar y comprender el funcionamiento y las posibilidades, prefiero predicar con el ejemplo. O mejor, vemos un vídeo?



Podemos descargarlo desde este dropbox. Para mi ha sido un suplicio por mi falta de conexión a Internet, y los continuos cortes en la descarga de Dropbox, que no me permite retomarlos ni tan siquiera usando jdownloader. Cada uno que lo baje como pueda.

Lo primero que puedes hacer es desplegar el OVA en Virtualbox, pero yo prefiero realizarlo en mi VMware ESXi repleto de Gigas de RAM. Para ello hay que realizar un pequeño procedimiento para cambiar el ova a ovf compatible para VMware. Si no es tu caso, omite esta parte del artículo.

Lo primero que hacemos para pasar de OVA VirtualBox a OVF compatible con VMware es bajarnos dos herramientas, la OVF tool de Vmware y Microsoft Checksum Verify.

Con el fichero OVA descargado pasamos la tool OVF para extraer el fichero OVF.


Una vez tenemos el fichero OVF, lo desplegamos en nuestro ESXi y nos da los errores típicos de compatibilidad. Pero no significaba OPEN VIRTUALIZATION FORMAT...?


Vamos a cambiar el fichero ovf con un editor y dejamos vmx-07 que en mi caso ha funcionado a la maravilla. Una vez modificado, podemos pasar la herramienta de checksum de Ms para sacarle el SHA1, y modificarlo en el archivo .mf. Una vez realizado este procedimiento, podemos desplegar el fichero OVF a nuestro ESXi sin ningún problema.


Bien, con y esto y un poco de paciencia tenemos desplegada la máquina virtual.

Podemos hacer login con el usuario ht la password !templinpw! . Ejecutamos el servidor web con /home/ht/Documents/RITA/run.py y tenemos la web.



Al introducir el nombre del "cliente" debemos usar caracteres en minúscula, ya que este campo será el índice en Elasticsearch y podemos tener problemas con las mayúsculas.

El primer módulo que podemos activar es Beaconing. Podemos establecer un periodo que alerte de conexiones hacia internet periódicas, típicas de infecciones conectando hacia un C&C. 

Para el módulo Blackisted podemos averiguar conexiones de red que se establecen hacia direcciones ip catalogadas como maliciosas.

Scanning detecta sistemas que se intentan conectar a otros sistemas en diferentes puertos, el típico port scan.

Duration detecta conexiones de red persistentes en el tiempo.

Long_urls detecta conexiones hacia direcciones largas.

Concurrent detecta conexiones concurrentes hacia sistemas de login.

Una de las cosas que más me gusta es que podemos explorar los datos, que por cierto el desarrollador nos deja de prueba muy amablemente, en nuestro frontend Kibanna, por lo que hace muy sencillo la creación de un Dashboard personalizado con los indicadores que nos plazcan. Por defectos os muestro el índice.


Una de las cuestiones mas interesantes es que la manera de cargar datos en el framework, generalmente los que provienen de logs es mediante CSV.


Una cuestión importante, como vamos a pasar nuestros datos PCAP en formato CSV? te vale esta herramienta en perl? http://afterglow.sourceforge.net/

Espero que os sirva de ayuda este framework. Yo tengo mis dudas, le veo algunos flecos, sobre todo, falta de información. En la máquina virtual he podido ver la guía de instalación del sistema básico, pero me falta mucha información, por ejemplo, de donde baja las fuentes de inteligencia para catalogar que una dirección es Black o no...

Espero que sigan con el desarrollo de esta herramienta que me parece muy útil.

Un saludo, gracias por leerme !!!






viernes, 18 de diciembre de 2015

Click Click Click crash !! Actualiza Windows y lee la información.

Estimados amigos de Inseguros !!!

Cuantas veces hemos leído que una actualización de Windows rompe el sistema? Cuantos equipos pasan por nuestras manos/ojos y no se actualizan porque son piratas? Cuantas empresas no usan WSUS para realizar el proceso de actualizaciones correctamente?.

Windows Update

Yo para estas cosas soy muy tajante. Sobre todo con lo de probar las actualizaciones, Aunque Microsoft testea todos los desarrollos, y posiblemente un fallo en un update a nivel mundial que falla, es detectado en menos de 1 hora, PRUEBA TUS ACTUALIZACIONES !!! actívala solo para una Unidad Organizativa de tu AD y mediante WSUS o manualmente prueba y cacharrea con ella !!! Esto es MANDATORY !!!!

Otra cosa que debes hacer es LEER las actualizaciones. Es muy cómo criticar lo que no se conoce, o peor aún, hacer oidos sordos a esa información y luego responsabilizar a Microsoft del problema... Esa época ha pasado señores, hay que ser profesional !!!

Lee

Después de este mini Work-Around vamos al objetivo del post.

Hace unos días salieron el conjunto de actualizaciones mensual de Diciembre, como estamos acostumbrados mes a mes. Si alguien se ha leido el boletín sabrá de lo que hablo.

Haces unos meses, en julio apareció una vulnerabilidad crítica para Internet Explorer todas las versiones que permitía a un atacante realizar un bypass de las medidas de protección ASLR dentro del navegador.

Como indica el boletín de Diciembre, con las últimas actualizaciones se ha desactivado esta protección, por mucho que instalaras el parche en Julio. El proceso para activar la protección lo tenemos en el propio boletín:
  • For customers running Internet Explorer 7 through Internet Explorer 10, or Internet Explorer 11 on Windows 7, 8, or 8.1:
    1. Install Cumulative Update for Internet Explorer 3104002. See the Affected Software table for download links.
    2. Install security update 3109094 in MS15-135.
    3. Run the Microsoft easy fix available in Microsoft Knowledge Base Article 3125869 to enable the User32 Exception Handler Hardening Feature. An alternative to the easy fix is to enable this feature manually using the steps described in Enabling the User32 Exception Handler Hardening Feature.

En el caso de haber instalado las actualizaciones como todos los meses, sin leer, estaríamos dejando nuestros Internet Explorer expuestos a esta vulnerabilidad.

Es un proceso tedioso, lo se !!!! pero actualizar los sistemas es una tarea básica de cualquier administrador de sistemas, al igual que hacer backups o ver gatitos en Internet :-)

Espero que os sirva de ayuda este mini post, y sobre todo, leer las actualizaciones.

PD: El señor Dabo en su cuenta de Twitter SIEMPRE publica cuando se actualizan los principales CMS, Microsoft y paquetes GNU populares.


miércoles, 9 de diciembre de 2015

Una clave para todos los servicios? Compruébalo con CredMap

Estimados amigos de Inseguros !!!

Por más que lo recomendamos en todos los sitios, seguimos usando la misma contraseña para todos los servicios web que usamos.


En parte es normal que un usuario no muy concienciado con la seguridad, maneja 1, 2 o 3 claves nada más para satisfacer la "molestia" de tener que introducir user/pass en el correo, redes sociales, tiendas, etc.

Nosotros como profesionales o aficionados a la seguridad, debemos concienciar en el uso de contraseñas distintas...salvo si estamos auditando la seguridad de una persona o proceso :-)

Imagina que en una auditoría consigues la clave de un usuario, de Facebook, del dominio, o vete tu a saber... Estaría bien comprobar en qué servicios populares podemos entrar con esa clave cierto?

Para eso tenemos este script , Credmap, escrito por el señor Roberto Salgado. Como puedes leer en el post original, la instalación es muy sencillo, y el manejo aún lo es más.



Espero que os sirva de ayuda, gracias por leerme, y gracias al desarrollador por una herramienta excelente !!!!

jueves, 3 de diciembre de 2015

Engaños en empresas, malas configuraciones y al final siempre un ruso monetizando ...

Estimados amigos de Inseguros !!!

En el episodio de hoy voy a contar una de esas películas que pasan a diario en todo el mundo, a todos nuestros amigos, clientes, familiares, empresas cercanas, y qué por vergüenza en muchos casos, no salen a la luz.

SCAM

Me llama un amigo para hacerle un trabajito de seguridad. Me comenta que ha sufrido un engaño, y que está preocupado por la seguridad de su empresa.

Es muy sencillo, un cliente, un proveedor, una factura de por medio. El proveedor envía un correo con una cuenta de mail "parecida" al cliente diciéndole "he cambiado de banco, mandame el pago de ESTA FACTURA a este otro número de cuenta.

¿Qué hace el cliente? si es un correo "legítimo"... o eso parece, y el proveedor le envía la factura original, la misma que ya tiene el cliente impresa en su mesa... y sabe como se llama la administrativa... MUY fino hay que estar para no caer en esto. Al final, proceso HUMANO para que en futuras ocasiones, si algún proveedor/cliente cambia el número de cuenta, se haga una verificación humana telefónica...

Hasta aquí un timo más de Internet, insisto, de los que pasan TODOS los días y no nos enteramos.

El timo se había efectuado por una dirección de correo de un servicio gratuito denominado mail2world.com . En este servicio podemos cambiar el dominio por uno más "acorde" con actividades delictivas y dirigidas.

Me hago una búsqueda para ver si veo información de ese dominio en concreto, por si encuentro algún caso reportado, un pastebin por ahí perdido en la oscuridad, o cualquier información que me haga avanzar en la investigación. Recuerda, a mi amigo le había llegado una factura real, por lo que o mi amigo (cliente) había sido comprometido o el proveedor.

No tiene más trascendencia la investigación, no puedo seguir contando más cosas, pero la gracia viene por aquí.

Con ese dominio, en la búsqueda por google descubro un servicio abierto, un gestor de newsletter ubicado en EEUU, en el que uno de los correos que aparecía era del domino en cuestión. NO GUARDA RELACIÖN, pero me es curioso encontrar este servicio leg-open in the wild.


No entiendo qué tiene esa web que me permite trabajar con ella, porque en algunos casos me pide Login... pero el caso es que tienen expuesta la información de correos de 118.488


Madre mía !!! eso tiene más éxito que la lista de la rootedcon... No es el caso, simplemente que la empresa que hospeda la newsletter está enviado información que no sabe a quien no debería... Es un sistema remoto de envío de SPAM a la carta.

Una de las cosas que hago es comprobar que realmente son correos legítimos, y no un honeypot que me está dando a mi en vez de yo a el...


Después de ver la pinta del tipo, pienso si realmente se merece estar en esta lista de correo o no :-)

Una de las cosas que más me hace gracia es que tiene un auto-responder, para los nuevos miembros...


Que dice algo así como:


Qué gracioso !!! yo preocupado por el ruso y solo es una tienda online :-) Si buscas la URL en virustotal no indica nada malo, pero aparecen MILES de resultados en google en páginas de TODO TIPO en el que aparece la URL en los comentarios a modo de SPAM masivo.

Simplemente una técnico de BLACK SEO para posicionar el E-commerce? No parece que realice ninguna infección la URL.

De todo esto saco muchas conclusiones, pero las básicas son las de siempre, que cuidado con las instalaciones que hacemos, que sean lo más seguras posibles.

Que al notificar el fallo a los responsables de la web, les importa un pimiento.

Que siempre que hay algún delito, o casi siempre, está un ruso por ahí dando cera xD.

Que el ciberdelito cada vez se hace palpable en nuestra sociedad, y NO estamos preparados para ello.

Espero que os haya entretenido esta artículo.

Gracias por leerme !!

pd: Os recomiendo filtrar en vuestros antispam o conten filtering o firewall de capa 7 o lo que dios quiera que uséis los dominios del tipo @mail2*