jueves, 17 de septiembre de 2020

Repaso a lista de 50 blogs en castellano que escribí hace 4 años...

 Estimados amigos de Inseguros !!!

Hace 4 años de esta entrada en el blog de Eset, parece que fué ayer. En su momento describió 50 blog en castellano que solía leer y me gustaban. 

El mundo del blog ha cambiado, creo que la manera de publicar sufrió un cambio importante y a la vez bueno, y es que el "conocimiento" o mejor dicho, la predisposición a compartirlo ya no se aglutina en unos pocos blogs. Es muy difícil seguir el ritmo de ir investigando, creciendo, y encima publicandolo para el público. 

He oído mil veces lo de "escribo para devolver a la comunidad lo que me aporta" . En versión charla, proyecto github o similar, pero el concepto de comunidad siempre ha sido ese.

Ahora la realidad es que hay muchas fuentes de información, ya no miras periódicamente tus blogs favoritos... si... pero aparece un blog con dos artículos muy buenos. Quizás nunca más el autor vuelva a escribir, pero da igual, tu te zampas sus dos artículos, aprendes y a otra cosa.

La globalización de internet tiene esto de bueno, que el conocimiento o la información aparece en cualquier lado. Buena o mala es otra cuestión, pero eso es otro tema en el que no entro, no al menos hoy.

Para más cambio, ha cuajado el fenómeno CTF de tal manera que los mejores blogs del momento, los más técnicos, los más seguidos, sospecho que son los famosos "write Up" o resolución de retos y máquinas. Una fuente de información brutal, pero si sabes leerla... 

No basta con aprender el comando del "nmap". Sino que debes buscar en paralelo la información que subyace, lo que pasa debajo, la teoría...los fundamentos... pero esto ya es responsabilidad del lector, no del escritor.

Una pena que muchos de mis ídolos, de mis referencias, de mis amigos que escribían, que aparecen en este listado, ya no lo hagan, pero espero que estas reflexiones los hagan animarse.

Un 50% de blogs no siguen, pero lo bueno es que hay cientos de nuevos blogs, proyectos, publicaciones diversas que enriquecen a esta comunidad. Si algo tiene distinto el hacking y la seguridad informática es eso, que el aporte no solo es de los fabricantes, sino de los investigadores, sufridores, estudiantes, profesionales, etc.

Respecto a los que siguen, mis mas sincera felicitaciones y enhorabuena. Esto es un trabajo que hacemos para todos, por el bien de todos, y me rindo a sus pies.

Una vez hechas estas reflexiones, he copiado y pegado el listado para hacer un repaso a qué blogs de los que mencionaba hace 4 años siguen o como se encuentran.

  • 4null0.blogspot.com.es: Información de perfil técnico. Actualizado recientemente y con una frecuencia baja. Sigue en la lucha con artículos muy interesantes. Mi enhorabuena crack por el esfuerzo. @4null0

  • bitacoraderedes.com: Un blog de contenido generalista, orientado a los sistemas en general. Un poco de hacking, un poco de Vmware, un poco de Linux. Una gran apuesta informativa. La pena es que el autor no tiene el tiempo que nos gustaría para dedicarle tiempo, espero que se anime y siga con estos artículos tan buenos. Go Go Go !!! DOWN

  • blog.alguien.site/: Buena página con información te alto valor técnico. Procesos y herramientas de seguridad ofensiva puestos a nuestra disposición por el autor. Tiene un ritmo de actualización bueno. Gran trabajo.

  • blog.pepelux.org/: Si el tamaño no importa, este es el blog !!! xD. El Sr Pepelux escribe poco, muy poco, nos gustaría uno cada día !!! pero los post que escribe son buenísimos. Descripción de concursos CTF y la mejor información sobre seguridad Voip que puedas leer en castellano. Uno de los pioneros en el mundo de la seguridad informática hecha blog. Gracias por tu trabajo !!! Mi amigo al otro lado del teléfono mantiene el blog con pinceladas técnicas escasas para lo que nos gustan, pero sigue en la brecha con magníficas charlas y proyectos de código. Dale caña PEPE !!!

  • blogs.itpro.es/alez/: Uno de los expertos MVP de Microsoft Windows 10 es su área de trabajo. Si quieres conocer lo último del último sistema operativo de Microsoft este es tu blog. Flojo Flojo amigo, a ver si nos espabilamos que molas mucho !!! xD

  • conexioninversa.blogspot.com.es: Un experto como el Sr. Pedro Sánchez nos trae su blog con información de todo tipo. Todo tipo de nivel técnico y de divulgación en general. Uno de los más reconocidos profesionales en el mundo de la redes y conferencias.

  • elbinario.net/: Voy a denominar esta página, con todos mis respetos, el Freakismo de Linux. Un ritmo bueno de publicaciones sobre todo tipo de herramientas relacionadas con el software libre. Algunas de seguridad, otras de video juegos, otras de herramientas de productividad. Una buena fuente de información para el mundo linux en general.

    elblogdeangelucho.com/:
    Angelucho y su blog son el máximo exponente en castellano en la lucha x1 red más segura. Sus contribuciones son del tipo divulgativo, concienciación, y sobre todo, de carácter humano. Como padre, compañero de profesión, como profesor, Angelucho es sinónimo de carisma, respeto y admiración por toda la comunidad. Gracias SEÑOR.

  • enfoqueseguro.com/: Su director Rafael Núñez describe el blog como: “Enfoque Seguro nace como una iniciativa para promover de forma independiente la seguridad sobre Internet con la finalidad de convertirlo en un lugar más seguro.” Todo un portal con contenidos de distinta categoría. Muy interesante para tener una visión general del estado de la seguridad sin entrar en aspectos técnicos.
  • hacking-etico.com/: Los amigos de Córdoba EduMiguelManolo y el resto de contribuciones crearon hace muchos años ya un espacio muy interesante divulgativo con información de primera calidad. Tenemos para todos lo niveles y con un estilo impecable. Uno de los favoritos para mi y para la comunidad. No hay nada más que ver sus presentaciones en eventos, lleno hasta la bandera. SVT Cloud es la empresa que soporta y patrocina el blog. Muy buen trabajo amigos !!!

  • intrusionlabs.org: Aunque no actualizan todo lo que me gustaría, estos tipos escriben sobre procesos y herramientas ofensivas de manera muy interesante. De gran valor técnico. Espero que no dejen el proyecto porque pintaba muy bien. Ánimo señores !!!

  • http://infostatex.blogspot.com.es: Uno de los blogs en castellano con más actividad del panorama. Grandes artículos técnicos y de muy buen nivel. Gracias por tu trabajo !!!

  • kinomakino.blogspot.com.es/: Mi blog personal, sin descripción XD

  • la9deanon.tumblr.com: La 9 de anonymous es una persona, personas, colectivo, nadie lo sabe. Solo sabemos que escriben sobre temas políticos relacionados con la seguridad, el hacktivismo, la defensa de los derechos en la red. Nos cuentan sus intrusiones en empresas y organismos y nos detallan la parte que nos gusta, la técnica. Uno de los mejores blogs de seguridad en castellano sin duda. Espero que sigan muchos años.

  • securitcrs.wordpress.com: Noticias y divulgación a partes iguales, recomiendo este blog para los curiosos de la seguridad informática.

  • seguridad-de-la-informacion.blogspot.com.es: Uno de los grandes del panorama blogger. Mas seguridad de la información que seguridad informática, es uno de los referentes en castellano para estar al día en esta disciplina. Si eres un amante de las ISO, legislación, frameworks de gestión, o simplemente un apasionado por la seguridad, este blog te encantará.

  • seguridadyredes.wordpress.com/ El blog de Alfon es el mejor blog de seguridad perimetral/defensiva que existe bajo mi punto de vista. Me gustaría tener un artículo suyo todos los días. Cuando quieres estudiar materias como Bro, IDS, Snort, Análisis de PCAP y cosas por el estilo, tranquilo que Google te llevará a su repositorio de conocimiento. Un grande entre los grandes.

  • thehackerway.com/ Si el anterior blog era mi favorita en esa materia, el blog de Daniel  es mi favorita en materia de hacking en general. Será por los perfiles profesionales, pero sin duda, me encanta su información ofensiva. No escribe lo que los lectores le demandamos, pero seguro que va por épocas y cualquier día retoma esos artículos de hacking que tanto nos gustan. No obstante, si quieres aprender con el propietario dispone de cursos online de formación muy interesantes aquí.

  • www.0verl0ad.net/: Uno de mis favoritos. Los señores @aetsu y @TheXC3LL nos obsequian con artículos y herramientas creadas por ellos para sus proyectos. No actualizan muy a menudo y su contenido es técnico de nivel alto. Cambio de rumbo, ahora solo uno de ellos en https://x-c3ll.github.io/

  • www.1gbdeinfo.com/: El Sr. @1gbdeinfo es una de las personas más queridas en el mundillo de los blog. Con su aportación no muy técnica, Roberto realiza una magnifica labor de concienciación e introducción a contenidos técnicos de nivel bajo y medio. Sigue así y no dejes el blog !!!

  • www.aratech.es: Oscar @Navaguay nos presenta su proyecto personal de tierras mañanas. Con blog contenido técnico sobre sus investigaciones, herramientas y procesos ofensivos y defensivos.

  • www.areopago21.org: Voy a tomar la descripción por sus propias palabras: Blog colaborativo dedicado a compartir ideas sobre CiberGuerra, CiberTerrorismo, CiberInteligencia y Tácticas de Hacking. Poca actualización pero contenidos muy interesantes. Para todos los públicos.

  • www.blackploit.com/: El Sr. @Blackploit hace un tiempo que no actualiza, pero este blog con contenido técnico medio y ofensivo era uno de los favoritos de la gente que empezaba. Esperemos que se anime y retome el proyecto. Con lo que me gusta y lo poco que escribe xDDD lo dejo por los pelos, pero molaría verlo más a menudo aportando cositas.

  • www.blogtecnico.net: Excelente blog técnico con herramientas y procesos de seguridad ofensiva. Muchos artículos y de buen nivel técnico.

  • www.caceriadespammers.com.ar: Daniel escribe en uno de los proyectos más interesantes para mi. Escribe regularmente sobre seguridad en general, sobre sus herramientas y proyectos, congresos y cualquier cosa relacionada con la seguridad. Gracias Daniel !!!

  • www.cyberhades.com/: Excelente web con información general sobre el mundo Linux, seguridad, hacktivismo y de todo un poco. Descubres cosas geniales, gracias gente !!!

  • www.daboweb.comDabo, señor Dabo, PROFESOR DABO. Una de las figuras más auténticas y comprometidas con la seguridad informática nos ofrece un espacio con información general sobre amenazas, actualizaciones de seguridad y demás iniciativas. Muy recomendable.

  • www.davidromerotrejo.com/: Otro de mis blogs favoritos. El Sr. Romero lo mismo habla de tecnología networking, que de herramientas de seguridad, virtualización. Un blog muy completo sobre sistemas en general. Muy recomendable.

  • www.dragonjar.org: DragonJar no es un blog, no es una web, es una comunidad de gente trabajando por la información en nuestra materia, la seguridad informática. Grandes artículos de todo tipo de nivel. Noticias, información sobre eventos. Un clásico del panorama que nunca decae. Oleeee.

  • www.elladodelmal.com: Esta web te suena? El sr. Chema Alonso es todo un referente en la seguridad informática en castellano, y su labor en los medios profesionales y generalistas lo hacen un divulgador de primer orden. El estilo de su blog es “desenfadado”, si toque personal está presente. Artículos más bien divulgativos y algunos de carácter técnico. Cuenta con una seria de contribuyentes que hacen variopinta la temática.

  • www.el-palomo.com: Omar lleva informando desde 2007 en su blog sobre HACKING, en mayúsculas. No requiere mucha descripción, simplemente disfruta de sus artículos.

  • www.enelpc.com: Este hombre es un autentico portento. Uno de los profesionales en su campo mas competente de la escena pública. Aunque a veces hable de temas av-not friendly XD es un blog altamente recomendado para perfiles técnicos, reversing y exploiting.

  • www.flu-project.com: Los señores Juan A.  Calles y Pablo González  crearon hace muchos años ya la “bestia verde” una simpática mascota, lo de bestia es por la cantidad de buenos artículos que nos ofrecen. Un blog divulgativo, generalista, noticias y eventos, pero también con importantes artículos técnicos de alto y medio nivel. Una pena que no escriban todo lo que nos gustaría, aunque podemos leer a los autores en distintos blogs en los que colaboran.

  • www.gurudelainformatica.es: Blog de carácter técnico actualizado recientemente y con una media de actividad alta. El propietario es el Sr.@Gurudelainf

  • www.hackplayers.com/: El blog de Vicente Motos es uno de los más consagrados en el panorama Infosec en castellano. Un ritmo de publicaciones espectacular, una al día, o al menos los días de trabajo. Información útil de todo tipo, de todo tipo de niveles técnicos y divulgación. Noticias, contribuciones de todo tipo de escritores. La mejor web tipo noticias sin duda.

  • www.israelmb.es: Israel es un tipo de Murcia, apasionado por las redes, los sistemas, muestra de ellos es los númerosos premios de fabricantes que le otorgan por su dedicación. Lecturas obligatorias si manejas cualquier de las tecnologías que trabaja. Vmware, Veeam, Microsoft, System Center, etc.

  • www.jsitech.com: Mi amigo Jason Soto lleva varias iniciativas en danza, una de ellas es el blog donde nos obsequia con interesantes artículos sobre seguridad en general. Docker está siendo últimamente su área de estudio. Linux en general. Una muy buena web y muy buena iniciativa la de IT-talks.

  • www.kontrol0.com: Te gusta el hacking? te gusta linux. Pulse aquí para continuar…

  • www.lachisterablanca.com: Este tipo es hacker !!! Dedica su tiempo a realizar estudios, intrusiones (éticas) en empresas y nos documenta con detalle los procesos. El autor José Rabal aparece en el salón de la fama como “recompensa” en la mayoría de fabricantes y portales web.

  • www.neuronasdigitales.com: Grandisimo blog del sr Chica. POCO actualizado, esto es un tirón de orejas. Actualiza !!! x

  • www.pentester.es: Blog de contenido muy técnico del Sr. @JoseSelvi . Tenemos suerte de que ha retomado el ritmo de publicaciones, y en mi opinión, gran acierto el retomar el idioma castellano.

  • www.sec-track.com: Un portal completo dedicado a la seguridad. Niveles de todo tipo, soluciones a retos CTF. Artículos de muy buen contenido técnico. me gusta !!

  • www.securityartwork.es: Blog propiedad de la empresa S2, tiene a cientos de colaboradores escribiendo artículos de calidad. Suelen ser de índole técnica media y alta. Su Community Manager para redes sociales es el mejor del panorama. Aparte de la divulgación y el auto-bombo, nos sorprende con enlaces curiosos, simpáticos y sobre todo muy útiles. Gran página y gran trabajo de su gente.

  • www.securitybydefault.com : Mayo de 2008, se juntan 4 tipos expertos en la materia y montan una de las webs más atractivas en materia de seguridad informática durante muchos años. Cada autor le aporta una visión a los artículos, desde noticias y descripción de herramientas, hasta investigaciones en profundidad, procesos ofensivos, defensivos, forense, etc. Cuentan con la ayuda de colaboradores en algunos artículos que lo que hace es enriqueces aún mas la calidad de los contenidos. Yo aprendí seguridad con SBD debería ser la camiseta de moda de este verano. Gracias señores !!!

  • www.seguridadjabali.com/: Blog principalmente mantenido por Ángel, el jabato !!! Últimamente nos tiene sin mucha actividad. Nos acostumbró al cielo, y nos los quitó !!! Información para todos los públicos con enlaces de interés sobre materias de seguridad y tecnologías Microsoft.

  • www.sniferl4bs.com/: Don JOSE !! Otro de los proyectos favoritos por la comunidad blogger. Un tipo que escribe sobre todo lo que pasa por sus manos en materia de seguridad. Puedes aprender sobre BURP con su excelente serie de artículos. Sus hazañas en los procesos de certificación que lleva entre manos. Un blog con contenido para todos los públicos, de todos los niveles. Eres un crack !!!

  • www.spiderbond.net/: Interesante proyecto de reciente creación sobre 3 profesionales de la seguridad de variopintos orígenes. Contenido técnico bajo y divulgación. Los responsables son la Señora @sbarrera0 y los Señores @CiberPoliES y @JagmTwit.

miércoles, 16 de septiembre de 2020

Entorno Microsoft vulnerable...Esta vez con DSC

 Estimados amigos de Inseguros !!!

En el episodio de hoy vamos a ver una herramienta muy interesante diseñada por el señor https://twitter.com/ciberesponce que nos hará la vida mucho más fácil.

Es un conjunto de scripts que nos despliegan un laboratorio de pruebas en Azure con todo tipo de bondades.

Hace unos días ya presenté en Inseguros la herramienta Adaz, similar en el concepto pero muy distinta. En esta ocasión la herramienta despliega el entorno mediante el uso del Resource Manager y DSC.

Para los que no estéis muy familiarizados con DSC, comentar brevemente que como su nombre indica, es una configuración de estado deseada para nuestras máquinas, físicas o virtuales. Imagina una consultora que instala dominios en clientes. Instalar un DC al final siempre son los mismos Roles y configuración. Creando una plantilla DSC podemos automatizar el despliegue de los mismos, dando respuesta al término de moda "infraestructura como código".

Lo interesante de este set de scripts y configuraciones radica en que se provocan fallos conocidos, algunos más sencillos que otros, para que el defensor entrene el ataque y la detección y defens.

Os pongo un ejemplo de un setting:

ScheduledTask RonHd
{
TaskName = 'SimulateRonHdProcess'
ScheduleType = 'Once'
Description = 'Simulates RonHD exposing his account via an interactive or scheduled task manner. This mimics the machine being managed.'
Ensure = 'Present'
Enable = $true
TaskPath = '\AatpScheduledTasks'
ExecuteAsCredential = $RonHdDomainCred
ActionExecutable = 'cmd.exe'
Priority = 7
DisallowHardTerminate = $false
RepeatInterval = '00:10:00'
RepetitionDuration = 'Indefinitely'
StartWhenAvailable = $true
DependsOn = '[Computer]JoinDomain'
}

Para hacer el procedimiento voy a usar el AZ cli desde la web. Mucha gente no lo usa y se lia conectando el cliente azure con powershell...vamos... por usar solo la web.

New-AzResourceGroup -Name laboratorio2

West Europe

git clone https://github.com/microsoft/DefendTheFlag

cd ./DefendTheFlag/

New-AzResourceGroupDeployment -ResourceGroupName laboratorio2 -TemplateFile .\azuredeploy.json


Si todo ha ido bien verás tu nuevo grupo de recursos en Azure con las máquinas implicadas.



Podemos leer la lista de usuarios y contraseñas del siguiente recurso. Os aconsejo que los sintetice en un folio o documento para su uso, son muchos usuarios, contraseñas que no hemos puesto nosotros ( a no ser que lo cambies)

Una de las cosas que me gusta es que tiene fases o stages, en las que podemos hacer un snapshot en cualquier momento y revertir el estado de la máquina, por ejemplo, si estamos dando formación y queremos reiniciar las configuraciones, o si tenemos algún problema después de configurar cualquier elemento.

PS C:\Users\Administrador\DefendTheFlag\Stage > .\New-BackupVmsToDisk.ps1 laboratorio2

[!] Starting backup process for laboratorio2, Location: East US 2

[!] Stopping VMs to prepare them to be Snapshotted

        [ ] Stopping VM: AdminPc

        [ ] Stopping VM: AdminPc2

        [ ] Stopping VM: Client01

        [ ] Stopping VM: ContosoDc

        [ ] Stopping VM: Ubuntu-Katoolin

        [ ] Stopping VM: VictimPc


Id     Name            PSJobTypeName   State         HasMoreData     Location             Command

--     ----            -------------   -----         -----------     --------             -------

1      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

2      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

3      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

4      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

5      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

6      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

[+] All VMs Stopped... proceeding

[ ] Taking snapshots of 6 VMs

        [AdminPc] Taking snapshot

Sin duda un gran recurso para aprender, pero no solo sobre este laboratorio, sino para crear nuestra infraestructura como código personalizada, bien sea para laboratorios, producción, o para hacking...

Gracias por leerme !!!


martes, 8 de septiembre de 2020

Triunfar en la vida no es solo triunfar... reflexiones de un no-triunfador...

 Estimados amigos de Inseguros !!!

En el episodio de hoy quería reflexionar con algunos conceptos que si bien no están ligados directamente con la ciberseguridad o los sistemas, ocurrió después de una situación que vi en las redes sociales, esta sí relacionada con la ciberseguridad, más bien con un famosillo...

Sin darle importancia al por qué, me gustaría expresaros algunos pensamientos relacionados con la sociedad y lo que se entiende por triunfar. Parece que estamos obligados a triunfar en la vida, lo vemos constantemente en diferentes ámbitos y aunque me considero una persona involucrada con la mejora constante y el crecimiento (físico? xD ) , entiendo que no siempre en la vida se triunfa, o no al menos, de la manera en la que parece que debemos triunfar. Y empiezo con hilos Random...

Triunfar en los videojuegos vs el futbol.

Si estás en edad de criar, y tienes pequeños...o medianos...entre los... 8 y 18? conocerás el fenómeno Gamer/youtuber. Cuando era crío, los críos normales soñaban con ser futbolistas. No era algo muy malo, ya que aunque seas del Mandril o del Barça, del Boca o de River, que tu hijo quiera ser deportista no es tán malo. En aquella época lo que no se permitía era que dejarás los estudios porque querías ser futbolista. Tus padres te llevaban a entrenar, algo positivo, pero al final había un veredicto. Con 12/14 años harías unas pruebas para un equipo, seguramente el principal o secundario de tu ciudad, con suerte, y en ese momento el niño recibía el inevitable jarro de agua fría. Si valías seguías, si no, claramente entendías que sí, que el fútbol como deporte estaba bien ( o no, depende si ya habías probado el alcohol y los morreos xD) pero que no tenías el talento que había que tener para triunfar, para dejarte los estudios ( lo que queríamos casi todos los niños) y dedicarte a tu pasión.

Vamos a poner el caso de ahora mismo. Los niños ahora por lo general no quieren ser futbolistas, ahora quieren ser gamers. Quieren aunar lo que les gusta, jugar el conter, al maincraf, al gou, al lol ( SIII, daña la vista, lo se !! ) con su carrera profesional.Tengo que reconocer que como viejuno que soy, me maravilla eso, porque FLIPO con que la gente gane pasta por jugar, pero bueno, existe un GRAN mercado profesional en la industria del videojuego. PERO el problema para el educador, para los padres que tienen que decirle al niño "déjate el juego y estudia !!" se enfrentan a que realmente el niño puede argumentar que es su pasión, su afición, su talento, que es muy bueno, que en su servidor/partida/grupo de amigos... es un máquina, y que hay niños como él ganando millones de euros... Es distinto aterrizar en la realidad con un entrenador de fútbol que no te ficha, a este planteamiento. Lo digo porque aunque no es mi caso, me consta que es algo que está ocurriendo.

Pero volviendo al caso inicial, al triunfar, qué es realmente triunfar en los videojuegos? Ser profesional? Tengo amigos de más de 40 años jugones, muchos de vosotros, que lo mismo nunca han tenido esa pretensión profesional, pero que disfrutan de sus videojuegos. Es su hobby. Su entretenimiento, su pasión. ellos no han triunfado?

Vamos al caso del fútbol. Uno de mis amigos en concreto le gustaba mucho. Llegó a algún club no recuerdo si 3 regional, cobrando 1500euricos y dedicando sus primeros años laborales en el fútbol, pero no llegó a más. Sin embargo, hoy en día tiene un físico envidiable. Sigue jugando al fútbol un par de días a la semana, y encima entrena a unos chavales en el barrrio donde nacimos. Esta persona ha triunfado? tiene un hobby sano, ayuda a los jóvenes, es ordenado y disciplinado, creo que SI ha triunfado, sin llegar a jugar en el Real Murcia o en Valladolid...

El cantante de rock...o rap...

Otro ejemplo que comentaba con un buen amigo es el del rap. Desde que era bien crío me moví en esos ambientes de hip-hop, graffitis y primera escena del rap en España. Mis amigos le tiraron mucho llegando a grabar varias maquetas en la época de las TDK y eran bastante buenos. 

Cuando comenzábamos en esto, yo incluido, nos codeamos en los conciertos con gente como Kase-o, Zatu de Sfdk, CPV, etc... con lo que había... buenos y malos nos juntábamos, éramos los que éramos...

Esto que te mencionen han triunfado en la vida, han conseguido desarrollar su profesión en la industria musical, llegando a ser de los mejores de España y habla hispana. Con sano envidia vemos a estas estrellas como han triunfado, OJO, gracias su esfuerzo y talento, merecidísimo !!!

Pero le comentaba a mi amigo, que era de los que en los 90 empezó con el hip hop en España, que él también había triunfado. Con 49 años sigue haciendo ritmos, ahorrando las cuatro perras que puede para sus aparatos. Sigue en el local de ensayo con los 4 amigos juntándose a cantar. A grabar temas, maquetas que duran 5 años en salir porque nunca están suficientemente bien. Sin cantar en conciertos, sin fans, sin el estímulo que supone que te paguen... todo lo contrario... les cuesta dinero.

Para mi eso es triunfar, porque después de 30 años, sigues haciendo lo que te gusta. No han caído en la mediocridad de tener una vida de mierda, trabajando... comprando en el Mercadona... y yendo a ver a los padres/suegros los domingos, y YA ESTÁ !!! Ojo, no me malinterpretes, no digo que eso no sea bueno, hablo de las vidas de mierda :-)

El éxito en la ciber...

Conozco muchos profesionales TOP TOP TOP que no conoces, que no han dado charlas nunca, que no han escrito un libro. Que ni tan siquiera trabajan en ciber algunos, u otros que lo hacen pero no lo hacen para grandes empresas mundiales, pero tienen el mejor trabajo del mundo...

Como he comentado en muchas ocasiones, triunfar en la ciberseguridad no debe ser tu prioridad. Debe ser dedicarte en lo que te gusta, y ser lo mejor que puedas. 

Si tu meta es dar una charla en Rooted, como pudo ser la mía en un momento, qué pasa si no lo haces? qué pasa si lo haces? 

El éxito no es ser el number one en HTB, o sí, pero cuando lo consigas, tendrás que irte a otra cosa no?

YO

Quizás llevar este tipo de vida aburrida, tranquila, repetitiva, sin momentos para ti, para los demás, también sea una manera de triunfar... imagino que será según seas.

Pero me refiero a eso, a que según como seas, para ti triunfar será una cosa u otra.

En mi vida profesional, la que conocéis, he tenido varios triunfos, muchos !!! pero estos no tienen que ser los que la sociedad, o el gremio indican que "deben ser".

Qué Seguridad a lo jabalí me introdujera sin querer en las redes sociales para mi fué un triunfo.

Que me dieran el MVP de Microsoft fué un triunfo.

Que la gente de Navaja Negra me concediera el honor de dar mi primera charla en este mundo fue un fucking honor.

En cada CFP que he echado en cada conferencia que me has visto ha sido un pedazo de triunfo.

Tener un trabajo que me gusta asociado al estilo de vida que me permite, es un triunfo, quizás, el que más.

Que me leas, que le des a un me gusta, que me comentes, eso no es un triunfo, es más, es una necesidad !!! día a día me motiva a ser mejor persona pensar que hay 10 personas que me leen.

Para mi personalmente no es triunfar trabajar en una empresa que me obliga a currar 50 horas, aún cuando no quiero, por ser una grande, con nombre, o con un cargo importante.

No me importa ser Head, Manager o King.

No me importa llevar un coche, casa, ropa... acorde con lo que se supone que debe conducir, vivir o vestir. 

Es muy importante en la vida saber gestionar las derrotas, porque suelen ser más que las victorias, y sin ellas, estas últimas carecerán de valor.

Es importante conocer nuestros límites, y establecer metas alcanzables, y que tus triunfos los decidas tu, no una sociedad que quiere que tengas un BMW, una casa en el campo pero que trabajes de 8 a 8 y que los sábados vayas a las bodas de tus compañeros sin tener ganas...

Triunfar no es firmar autógrafos, no es echarte fotos con admiradores, ni tan siquiera si son groupies.

Triunfar no es publicar que has corrido 10 km esta tarde a un ritmo de no sé qué... o si !!!! cada uno lo decide, pero hay algunas posturas que no comparto, y por eso escribo sobre ellas.

Anímate a contarnos a todos cual serían tus triunfos, o tus mayores derrotas !!! 

Gracias por leerme, ha sido un TRIUNFO que llegas hasta aquí. xDDD


jueves, 3 de septiembre de 2020

Papa quiero hacer Phishing... consideraciones ofensivas para ser defensivos...

 Estimados amigos de Inseguros !!!

Lectores asiduos a este blog de tecnología no merecen que expliquemos qué es un Phishing. Cualquier usuario de Internet, o el 95% de los mismos reconocen este concepto.

Lo que puede no estar tan claro es algunos aspectos relacionados con el mismo, como por ejemplo cómo realizar un buen ataque de este tipo, y sobre esto, aleccionar al defensor para que implemente detecciones en base a estos comportamientos conocidos.

En ningún momento pretendo dar una guía de cómo realizar la campaña de phishing perfecta, la misión como siempre es aprender para luchar contra los malos.

https://www.curious-frank.com/post/fish-and-chip-day-or-phish-and-chip-day

Hay muchos pequeños aspectos a tener en cuenta para realizar las acciones ofensivas, y también a evaluar en productos o soluciones defensivas que pretenden combatir el problema del phishing, spam y vectores de correo. Conocer los ataques te ayudará a conocer las defensas, y viceversa.

Honey Traps

Cuidado con listas de correos masivas o correos no verificados. Existen los Mail Traps, honey traps ,etc... Son direcciones de correo de cebo que se ubican en listas, en algunos sitios en páginas web, en foros... El funcionamiento es sencillo, como es una dirección trampa, si alguien envía un correo a esa dirección, es porque está haciendo una acción masiva, y con muy alto riesgo de ser maliciosa. Si detectamos un "sender" que envía a un honey traps, podemos catalogarlo como spam y bloquearlo. Si estás usando listas, comprueba previamente en que el correo existe o se gestiona. Lo mismo pasa con los proveedores de correo con direcciones que llevan mucho tiempo en desuso y que de repente tienen actividad.

Longevidad

Si has contratado un VPS para instalar tu servicio de envío de correos, seguramente los MTA de destino no acepten tu correo ya que una práctica habitual en la lucha contra el spam es medir longevidad del dominio. Usar servidores de transporte como Mailchimp y servicios de marketing suele aumentar las posibilidades de que tu Phishing no caiga en la bandeja de no deseados por sospechoso.

SPF, DKIM y DMARC

Al igual que usamos estas tecnologías o medidas de protección, ampliamente conocidas, si lo que queremos es saltarnos las protecciones de nuestros destinos, debemos configurar nuestro servidor/dominio de origen con estas "protecciones".

Frecuencia

Si usas un VPS o sistema nuevo, y vas poco a poco generando "ruido", enviando mails, irás ganando reputación. No es lo mismo enviar 10 correos desde tu servidor de correo, que un servidor de un banco con reputación contrastada que envía 500 correos cada 10 minutos. Vigila la frecuencia, trabaja para "entrenar" al mundo en que tu servidor es legítimo, y realiza las campañas con muy poco ruido, envíos con pocos destinatarios y con mucho espaciado.

Cuidado con el clonado

Si vas a realizar un Phishing, lo normal es que lo hagas contra un recurso de tu CLIENTE ( recuerda, somos buenos :-) ) y no sobre un target "jugoso" como un login de O365, Gmail, Facebook, etc... Si clonas un formulario para tener el "look and feel" del sistema a suplantar, corres el riesgo de que las plataformas de seguridad de e-mail reconozcan que no es normal tener un html con etiquetas "conocidas" y te cazen en este sentido. Si no tienes otra que usar este "clonado" de webs conocidas, intenta enmascarar todo el html con cambios que hagan saltarse esta protección.

Smart Network Data Service

Para comprobar nuestra efectividad en las campañas, podemos usar un recurso muy interesante de Outlook.com para conocer qué está ocurriendo en las bandejas de correo de destino de nuestros objetivos, para saber si estamos haciendo algo mal y caen como spam y tenemos que afinar.

Return Path o X-Sender

Un mecanismo muy sencillo de utilizar en las campañas es indicar un campo en el from, una dirección de correo real, de la empres por ejemplo, pero añadir un return-path o x-sender con la dirección real del "malo", donde queremos que llegue. Imagina el escenario en el que usas un servicio de envío masivo, la típica empresa de marketing, pero quieres que te respondan a ti, no a la empresa de marketing...

Crear una regla en el siem o similar para detectar diferencias entre el form y estos campos puede ponernos sobre aviso.

Otra medida de protección es implementar un cambio en el asunto o cuerpo del mensaje cuando se detecta un cambio, o por ejemplo, lo que hacen muchas organizaciones es cambiar el mensaje con un texto para los correos que provienen del exterior. De esta manera, alertamos al usuario a que no es correo interno, aunque el dominio "se parezca" o simplemente aumentar su nivel de "alerta" o sospecha con adjuntos de otras empresas.

Adjuntos peligrosos

Al igual que teníamos que llevar mucho cuidado con el clonado de formularios de login, tenemos que hacerlo con los adjuntos. Si metemos un word con Macro y nos detectan el malware, seremos inscritos en una lista pública y se nos acabará el chollo. Prueba tus payloads antes de enviarlos y prepara la evasión antes de hacer la campaña. Esto también es aplicable al MTA del destino. Si la "víctima" usa gmail, o365, etc, comprueba sobre estas plataformas tus técnicas antes de lanzarlo en "producción". 


Al final todos sabemos que el vector de ataque principal en lo ataques cotidianos suele ser el correo y el usuario, e independientemente de la mejora en la formación con campañas y entrenamiento, la parte técnica es muy importante y debemos trabajarla como cualquier otro vector.

Espero que te sirva de ayuda, gracias por leerme.

lunes, 31 de agosto de 2020

How to become a Security Porn Star... versión Papá quiero ser hacker.

 Estimados amigos de Inseguros !!!

En este post voy a intentar sintetizar varios de los consejos que suelo dar a mis allegados sobre este tema. El título es un poco de broma, yo me aplico todos los consejos en mi carrera laboral, que lejos de estar en su final, me encuentro en constante cambio y aprendizaje. Espero que no interpretes este título como algo pretensioso, porque me considero el eterno becario...dicho esto...

Constantemente contactan conmigo amigos, familiares, compañeros, amigos de compañeros, amigos de familiares, etc preguntándome por lo mismo: tengo un hijo/sobrino/conocido/amigo/compañero... que le gusta la ciberseguridad y quiere dedicarse a ello. Podrías dedicarle 10 minutos para orientarlo?.

Cuántos casos como estos creeis que se me presentan al cabo de los días? Te puedo asegurar que muchos. Muchos es Muchos.

Cuando el papa/tio/amigo... contacta conmigo, siempre suelo ayudarle en la medida de lo posible, pero siempre inicio la conversación en el sentido interesado---yo. Es decir, que el interesado se ponga en contacto conmigo directo y sea el quien se preocupe. No os imagináis la de veces que hago esto, qué le digo al contacto: dile que me escriba... y ni lo hace !!! aquí acaba el mentoring xD antes de empezar !!! y al final es un reflejo de lo que pasa, que si te tienes que preocupar por un tercero... al final denota que ese tercero no está muy centrado, pero no siempre es así !!!

En ciertas ocasiones me ha llegado también algún recomendado que hablando con él te dice que le gusta "el cacharreo", el micro... y le voy preguntando y me cuenta: siii, instalar el windows, tunearlo, instalarle el antivirus, configurar juegos, instalarle una tarjeta... y cuando le dices que eso no es "informática" se queda blanco. Que eso era informática hace 30 años, pero que un profesional de la informática que quiere trabajar de eso, al final tiene que aportar algo más... tiene que ir a la empresa y conocer aplicaciones de usuario... dominios windoseros... un poco más que lo que haría un usuario freak no profesional...

Bueno, imaginamos que la persona interesada contacta conmigo. Siempre digo lo mismo, para entrar en la ciber o cualquier tech. hacen falta dos cosas, ser bueno y parecerlo. Vamos a centrarnos en las dos cosas de manera separada.

Es muy importante interiorizar esto, porque para mi, es tan importante una cuestión como la otra. No voy a entrar en que si es más interesante una u otra, pero en el escenario laboral en el que nos movemos, hay veces que entras por una recomendación, por la aparición en un medio, o porque en un proceso de selección tradicional tienes ques destacar en tu Currículum. De cualquier manera, demostrar que eres bueno es FUNDAMENTAL.

Me gusta poner el ejemplo de la película de sobremesa de la TV.  Esa película mala, de adolescentes, en el que el chaval gordito e inteligente se enamora de la más guapa, pero esta no le hace caso porque le gusta el QuarterBack fuerte y no tan listo de la escuela. El chaval gordito sueña con que se fije en él... y al final lo consigue porque el "mazao" se la lía a la chica y encima el gordito le ayuda con los deberes... El mundo real NO ES ASI. eso es mentira, en la realidad la tía buena se va con el "triunfador" y el que no se entera de la movida, se queda sin "comer"... NO es así del todo... entender que es una metáfora, pero conozco gente MUY MUY lista, inteligente, preparada, BRILLANTE que no sabe venderse y tiene trabajos MALOS, no solo por la pasta, sino por malos. Si eres el "gordito" tienes que ir al gimnasio, si eres el fuerte, tienes que estudiar más... al final, todos tenemos que mejorar nuestras carencias, sean las de la parte "ser inteligente" o de las de "demostrarlo". 

No sé si me he explicado bien o la he liado más xDDDD

Os pongo otro ejemplo más cercano: el informático inteligente pero "autista". Conozco MUCHOS que encajan en este perfil. Muy buenos técnicamente, pero con pocas habilidades sociales a la hora, por ejemplo, de empatizar con un cliente. Al revés también los hay !!! gente muy vende-humos sin un contenido preparado. NO estoy diciendo de elegir uno u otro, te hablo de la mejora que cada uno debemos hacer, y cada uno tiene que tener claras sus habilidades y carencias. Creerte que porque seas un genio, ya no tienes que alinearte con el negocio es un error, el caso de " echarle la comida por debajo de la puerta" en 2020 ya no es así. Es más, en el negocio, prima más luego a luego las habilidades que la inteligencia o conocimiento de una materia...

Siguiente con esta línea de pensamientos raros, voy a empezar por algo que leí una vez de pequeño. Me gustaban las iguanas, quería comprarme una. Me compré un libro y empezaba diciendo: si te gustan las iguanas, no te compres una !!! El autor hablaba sobre el problema de la trata de animales, el peligro que conlleva, lo delicadas que eran, etc, pero te indicaba que si ya habías cometido el error, la mejor manera de solucionarlo eran sus guías...

Con la ciber pasa lo mismo. Ser "hacker" o dedicarse a la ciberseguridad es un afán por conocer la tecnología y cómo mejorar su uso, desde el punto de vista la seguridad. Hacer que un funcionamiento de un aparato, sistemas, cacharro, etc sea más seguro. Para ello tienes que tener profundos conocimientos de lo que tienes entre manos, y sobre todo, requiere de una actualización brutal para conocer las últimas novedades tanto de ataques, defensas, como de los productos en sí. Te imaginas un experto en seguridad de Windows 98????

Esto es algo que nace, sale solo, y con mis consejos puedo ayudarte a despertar en tí ese sentimiento, pero tienes que tenerlo. Es como ser médico. Si no tienes vocación, no vas a pasar por el proceso de 10 años de estudio fuerte... La ciberseguridad es y debe ser vocacional. Tienes que tener ese espíritu de ver que pasa cuando pinchas ese botón, o qué pasa cuando haces un cambio en un código, etc... 

Conozco informáticos, MALOS informáticos, que trabajan 8 horas y no vuelven a tocar el ordenador hasta el día siguiente. Si buscas eso, la ciber no es tu campo. Te diría que ninguno de la informática, porque esta profesión requiere mucha renovación.

Si aún quieres seguir siendo "hacker", si quieres dedicarte a la ciberseguridad... continua leyendo :-)

Soltado este rollo, vamos con las dos vías de mejora.

1.- Mejorar.

Tienes que preparar tus habilidades. Tienes que aprender. Cada uno tiene su manera de hacerlo, unos prefieren formación reglada, otros auto-formación. Unos hacen Masters, otros leen artículos. Cada uno encuentra su motivación y fuerza de la manera que sea. Hay gente que tiene dinero, otros no tanto. Hay gente que se inicia joven y tiene más tiempo, otros lo hacen a mediados de su carrera.

Lo que sí te puedo garantizar es que te tienes que formar, a conciencia. Buscar un master que te lo de todo hecho no es la solución, porque el master será una pieza más, al igual que es la carrera, o el ciclo, pero también está el curso, la conferencia, la práctica, la máquina virtual, el CTF, al final vas a estar TODA TU VIDA FORMÁNDOTE. Desde ese punto de vista, invertir 5000 euros en un master te da conocimiento y título, está bien...si tienes el dinero, pero no es determinante, ya que es una pieza más de esa formación continua. Quizás te interese más hacer 10 cursos en Udemy prácticos y participar en alguna de las plataformas de entrenamiento CTF como Hack The Box o Vulnhub...

El tema de las certificaciones es otro asunto que se pone sobre la mesa. El hacer un camino de formación ligado a un fabricante o prestador de servicio para pasar unos exámenes que te dan credibilidad de conocer ese producto o servicio. Por ejemplo las certificaciones de Microsoft son guías para aprender sobre determinados productos y posterior evaluación. Si lo pasas, Microsoft Certifica que conoce esa herramienta. Las hay de todo tipo, siendo muy reconocidas OSCP, CISSP, CEH, CISM, GIAC, etc. Volveremos a esto en la parte de demostrar.

Seguro que muchos de los que me leéis entenderéis todo esto, pero si estás iniciando quizás andes aún perdido, espero que no más que cuando empezaste a leer :-)

Si no tienes ni idea, pilla una máquina de VULNHUB, la bajas, la instalas en tu Virtualbox y busca el solucionario. Se suele llamar Write Up. Sigue los pasos de la solución de PE a PA, y apunta TODO lo que no sepas. El primer día no sabrás NADA, y tendrás que buscar "qué es un escaneo de puertos" o qué es una SQLI.... con el tiempo, no solo aprenderás a "hackear" sistemas, sino que irás profundizando en la materia.

Aquí está lo curioso y las ganas que tengas. Siguiendo el ejemplo del "escaneo de puertos" te puedes quedar con el comando, puedes buscar que significa en la wikipedia, o puedes realizar un doctorado en la técnica del escaneo de puertos... lo profundo que tu quieras llegar es lo preparado que vas a estar. Habrá una diferencia del que tira el comando y no sabe muy bien que pasa, al que se lee el RFC del handshake TCP y pasa 3 meses estudiando capturas de red para saber que es un syn-scan... 

Así con todo. El hacerlo con un guión de máquinas virtuales me parece interesante de cara a la motivación. Vamos a ponernos al revés. Vas a una carrera de teleco, tienes una asignatura de redes y sin saber por qué, tienes que aprender la pila tcp/ip sin saber mucho para qué... aburre. Sin embargo si lo haces dentro del contexto del hacking, de pasar de "pantalla", de intentar romper cosas... lo mismo te motivas más...

2.- Demostrar.

Como mencionaba antes, las plataformas de CTF son una buena manera de entrenarse, pero también son de demostrar conocimiento. En los procesos de selección de las vertientes más ofensivas se evalúa la posición en dichas plataformas del candidato, ya que demuestran que REALMENTE has pasado el reto.

Es importante que te rodees de colegas del sector, de muchas maneras, mediante congresos, redes sociales, proyectos colaborativos... monta tu blog... al final mucho trabajos se dan a dedo por confianza, y el tener una red de profesionales que "respalden" tu conocimiento, el técnico, o tus habilidades personales, sin duda es un añadido.

Es muy difícil luchar con 100 personas en una candidatura en la que no siempre tienes la suerte de que tu información se interprete como piensas, o mereces, pero la vida es así. 

Yo vivo en una ciudad pequeña, por lo que es buena idea buscar el top 50 de empresas del sector, y añadir a sus responsables en Linkedin, a sus técnicos de RRHH. Quizás un día te sientes frente a ellos en una entrevista y conozcan tu presencia "positiva" en la red...

Si tu vertiente es de programación, tener proyectos en GitHub en los que la comunidad y las empresas puedan medir "en caliente" tus habilidades, y por qué no, tu compromiso y dedicación, me parece otra genial idea.

Respecto a la búsqueda de empleo relacionado, es muy importante que manejes la frustración. No siempre se consigue lo que uno quiere a la primera, ni a la segunda. A veces tienes que pasar por procesos que no te gustan, para llegar al que sí. Me refiero a empresas no muy atractivas, a prácticas poco o nada remuneradas... al final son experiencias que todos hemos vivido y sufrido. No existe el trabajo perfecto y el camino es muy largo. Aprende a manejar esto y no desesperes, el camino laboral son 30 o 40 años...

Al final os he soltado un rollo importante, pero espero que hayas entendido mi punto de vista, que no es el único ni tan siquiera el mejor, pero aprende a leer entrelíneas y quedarte con la información que vas necesitando.

Si necesitas más ayuda, no dudes en contactar conmigo. Gracias por leerme.



Related Posts Plugin for WordPress, Blogger...