jueves, 17 de septiembre de 2020

Repaso a lista de 50 blogs en castellano que escribí hace 4 años...

 Estimados amigos de Inseguros !!!

Hace 4 años de esta entrada en el blog de Eset, parece que fué ayer. En su momento describió 50 blog en castellano que solía leer y me gustaban. 

El mundo del blog ha cambiado, creo que la manera de publicar sufrió un cambio importante y a la vez bueno, y es que el "conocimiento" o mejor dicho, la predisposición a compartirlo ya no se aglutina en unos pocos blogs. Es muy difícil seguir el ritmo de ir investigando, creciendo, y encima publicandolo para el público. 

He oído mil veces lo de "escribo para devolver a la comunidad lo que me aporta" . En versión charla, proyecto github o similar, pero el concepto de comunidad siempre ha sido ese.

Ahora la realidad es que hay muchas fuentes de información, ya no miras periódicamente tus blogs favoritos... si... pero aparece un blog con dos artículos muy buenos. Quizás nunca más el autor vuelva a escribir, pero da igual, tu te zampas sus dos artículos, aprendes y a otra cosa.

La globalización de internet tiene esto de bueno, que el conocimiento o la información aparece en cualquier lado. Buena o mala es otra cuestión, pero eso es otro tema en el que no entro, no al menos hoy.

Para más cambio, ha cuajado el fenómeno CTF de tal manera que los mejores blogs del momento, los más técnicos, los más seguidos, sospecho que son los famosos "write Up" o resolución de retos y máquinas. Una fuente de información brutal, pero si sabes leerla... 

No basta con aprender el comando del "nmap". Sino que debes buscar en paralelo la información que subyace, lo que pasa debajo, la teoría...los fundamentos... pero esto ya es responsabilidad del lector, no del escritor.

Una pena que muchos de mis ídolos, de mis referencias, de mis amigos que escribían, que aparecen en este listado, ya no lo hagan, pero espero que estas reflexiones los hagan animarse.

Un 50% de blogs no siguen, pero lo bueno es que hay cientos de nuevos blogs, proyectos, publicaciones diversas que enriquecen a esta comunidad. Si algo tiene distinto el hacking y la seguridad informática es eso, que el aporte no solo es de los fabricantes, sino de los investigadores, sufridores, estudiantes, profesionales, etc.

Respecto a los que siguen, mis mas sincera felicitaciones y enhorabuena. Esto es un trabajo que hacemos para todos, por el bien de todos, y me rindo a sus pies.

Una vez hechas estas reflexiones, he copiado y pegado el listado para hacer un repaso a qué blogs de los que mencionaba hace 4 años siguen o como se encuentran.

  • 4null0.blogspot.com.es: Información de perfil técnico. Actualizado recientemente y con una frecuencia baja. Sigue en la lucha con artículos muy interesantes. Mi enhorabuena crack por el esfuerzo. @4null0

  • bitacoraderedes.com: Un blog de contenido generalista, orientado a los sistemas en general. Un poco de hacking, un poco de Vmware, un poco de Linux. Una gran apuesta informativa. La pena es que el autor no tiene el tiempo que nos gustaría para dedicarle tiempo, espero que se anime y siga con estos artículos tan buenos. Go Go Go !!! DOWN

  • blog.alguien.site/: Buena página con información te alto valor técnico. Procesos y herramientas de seguridad ofensiva puestos a nuestra disposición por el autor. Tiene un ritmo de actualización bueno. Gran trabajo.

  • blog.pepelux.org/: Si el tamaño no importa, este es el blog !!! xD. El Sr Pepelux escribe poco, muy poco, nos gustaría uno cada día !!! pero los post que escribe son buenísimos. Descripción de concursos CTF y la mejor información sobre seguridad Voip que puedas leer en castellano. Uno de los pioneros en el mundo de la seguridad informática hecha blog. Gracias por tu trabajo !!! Mi amigo al otro lado del teléfono mantiene el blog con pinceladas técnicas escasas para lo que nos gustan, pero sigue en la brecha con magníficas charlas y proyectos de código. Dale caña PEPE !!!

  • blogs.itpro.es/alez/: Uno de los expertos MVP de Microsoft Windows 10 es su área de trabajo. Si quieres conocer lo último del último sistema operativo de Microsoft este es tu blog. Flojo Flojo amigo, a ver si nos espabilamos que molas mucho !!! xD

  • conexioninversa.blogspot.com.es: Un experto como el Sr. Pedro Sánchez nos trae su blog con información de todo tipo. Todo tipo de nivel técnico y de divulgación en general. Uno de los más reconocidos profesionales en el mundo de la redes y conferencias.

  • elbinario.net/: Voy a denominar esta página, con todos mis respetos, el Freakismo de Linux. Un ritmo bueno de publicaciones sobre todo tipo de herramientas relacionadas con el software libre. Algunas de seguridad, otras de video juegos, otras de herramientas de productividad. Una buena fuente de información para el mundo linux en general.

    elblogdeangelucho.com/:
    Angelucho y su blog son el máximo exponente en castellano en la lucha x1 red más segura. Sus contribuciones son del tipo divulgativo, concienciación, y sobre todo, de carácter humano. Como padre, compañero de profesión, como profesor, Angelucho es sinónimo de carisma, respeto y admiración por toda la comunidad. Gracias SEÑOR.

  • enfoqueseguro.com/: Su director Rafael Núñez describe el blog como: “Enfoque Seguro nace como una iniciativa para promover de forma independiente la seguridad sobre Internet con la finalidad de convertirlo en un lugar más seguro.” Todo un portal con contenidos de distinta categoría. Muy interesante para tener una visión general del estado de la seguridad sin entrar en aspectos técnicos.
  • hacking-etico.com/: Los amigos de Córdoba EduMiguelManolo y el resto de contribuciones crearon hace muchos años ya un espacio muy interesante divulgativo con información de primera calidad. Tenemos para todos lo niveles y con un estilo impecable. Uno de los favoritos para mi y para la comunidad. No hay nada más que ver sus presentaciones en eventos, lleno hasta la bandera. SVT Cloud es la empresa que soporta y patrocina el blog. Muy buen trabajo amigos !!!

  • intrusionlabs.org: Aunque no actualizan todo lo que me gustaría, estos tipos escriben sobre procesos y herramientas ofensivas de manera muy interesante. De gran valor técnico. Espero que no dejen el proyecto porque pintaba muy bien. Ánimo señores !!!

  • http://infostatex.blogspot.com.es: Uno de los blogs en castellano con más actividad del panorama. Grandes artículos técnicos y de muy buen nivel. Gracias por tu trabajo !!!

  • kinomakino.blogspot.com.es/: Mi blog personal, sin descripción XD

  • la9deanon.tumblr.com: La 9 de anonymous es una persona, personas, colectivo, nadie lo sabe. Solo sabemos que escriben sobre temas políticos relacionados con la seguridad, el hacktivismo, la defensa de los derechos en la red. Nos cuentan sus intrusiones en empresas y organismos y nos detallan la parte que nos gusta, la técnica. Uno de los mejores blogs de seguridad en castellano sin duda. Espero que sigan muchos años.

  • securitcrs.wordpress.com: Noticias y divulgación a partes iguales, recomiendo este blog para los curiosos de la seguridad informática.

  • seguridad-de-la-informacion.blogspot.com.es: Uno de los grandes del panorama blogger. Mas seguridad de la información que seguridad informática, es uno de los referentes en castellano para estar al día en esta disciplina. Si eres un amante de las ISO, legislación, frameworks de gestión, o simplemente un apasionado por la seguridad, este blog te encantará.

  • seguridadyredes.wordpress.com/ El blog de Alfon es el mejor blog de seguridad perimetral/defensiva que existe bajo mi punto de vista. Me gustaría tener un artículo suyo todos los días. Cuando quieres estudiar materias como Bro, IDS, Snort, Análisis de PCAP y cosas por el estilo, tranquilo que Google te llevará a su repositorio de conocimiento. Un grande entre los grandes.

  • thehackerway.com/ Si el anterior blog era mi favorita en esa materia, el blog de Daniel  es mi favorita en materia de hacking en general. Será por los perfiles profesionales, pero sin duda, me encanta su información ofensiva. No escribe lo que los lectores le demandamos, pero seguro que va por épocas y cualquier día retoma esos artículos de hacking que tanto nos gustan. No obstante, si quieres aprender con el propietario dispone de cursos online de formación muy interesantes aquí.

  • www.0verl0ad.net/: Uno de mis favoritos. Los señores @aetsu y @TheXC3LL nos obsequian con artículos y herramientas creadas por ellos para sus proyectos. No actualizan muy a menudo y su contenido es técnico de nivel alto. Cambio de rumbo, ahora solo uno de ellos en https://x-c3ll.github.io/

  • www.1gbdeinfo.com/: El Sr. @1gbdeinfo es una de las personas más queridas en el mundillo de los blog. Con su aportación no muy técnica, Roberto realiza una magnifica labor de concienciación e introducción a contenidos técnicos de nivel bajo y medio. Sigue así y no dejes el blog !!!

  • www.aratech.es: Oscar @Navaguay nos presenta su proyecto personal de tierras mañanas. Con blog contenido técnico sobre sus investigaciones, herramientas y procesos ofensivos y defensivos.

  • www.areopago21.org: Voy a tomar la descripción por sus propias palabras: Blog colaborativo dedicado a compartir ideas sobre CiberGuerra, CiberTerrorismo, CiberInteligencia y Tácticas de Hacking. Poca actualización pero contenidos muy interesantes. Para todos los públicos.

  • www.blackploit.com/: El Sr. @Blackploit hace un tiempo que no actualiza, pero este blog con contenido técnico medio y ofensivo era uno de los favoritos de la gente que empezaba. Esperemos que se anime y retome el proyecto. Con lo que me gusta y lo poco que escribe xDDD lo dejo por los pelos, pero molaría verlo más a menudo aportando cositas.

  • www.blogtecnico.net: Excelente blog técnico con herramientas y procesos de seguridad ofensiva. Muchos artículos y de buen nivel técnico.

  • www.caceriadespammers.com.ar: Daniel escribe en uno de los proyectos más interesantes para mi. Escribe regularmente sobre seguridad en general, sobre sus herramientas y proyectos, congresos y cualquier cosa relacionada con la seguridad. Gracias Daniel !!!

  • www.cyberhades.com/: Excelente web con información general sobre el mundo Linux, seguridad, hacktivismo y de todo un poco. Descubres cosas geniales, gracias gente !!!

  • www.daboweb.comDabo, señor Dabo, PROFESOR DABO. Una de las figuras más auténticas y comprometidas con la seguridad informática nos ofrece un espacio con información general sobre amenazas, actualizaciones de seguridad y demás iniciativas. Muy recomendable.

  • www.davidromerotrejo.com/: Otro de mis blogs favoritos. El Sr. Romero lo mismo habla de tecnología networking, que de herramientas de seguridad, virtualización. Un blog muy completo sobre sistemas en general. Muy recomendable.

  • www.dragonjar.org: DragonJar no es un blog, no es una web, es una comunidad de gente trabajando por la información en nuestra materia, la seguridad informática. Grandes artículos de todo tipo de nivel. Noticias, información sobre eventos. Un clásico del panorama que nunca decae. Oleeee.

  • www.elladodelmal.com: Esta web te suena? El sr. Chema Alonso es todo un referente en la seguridad informática en castellano, y su labor en los medios profesionales y generalistas lo hacen un divulgador de primer orden. El estilo de su blog es “desenfadado”, si toque personal está presente. Artículos más bien divulgativos y algunos de carácter técnico. Cuenta con una seria de contribuyentes que hacen variopinta la temática.

  • www.el-palomo.com: Omar lleva informando desde 2007 en su blog sobre HACKING, en mayúsculas. No requiere mucha descripción, simplemente disfruta de sus artículos.

  • www.enelpc.com: Este hombre es un autentico portento. Uno de los profesionales en su campo mas competente de la escena pública. Aunque a veces hable de temas av-not friendly XD es un blog altamente recomendado para perfiles técnicos, reversing y exploiting.

  • www.flu-project.com: Los señores Juan A.  Calles y Pablo González  crearon hace muchos años ya la “bestia verde” una simpática mascota, lo de bestia es por la cantidad de buenos artículos que nos ofrecen. Un blog divulgativo, generalista, noticias y eventos, pero también con importantes artículos técnicos de alto y medio nivel. Una pena que no escriban todo lo que nos gustaría, aunque podemos leer a los autores en distintos blogs en los que colaboran.

  • www.gurudelainformatica.es: Blog de carácter técnico actualizado recientemente y con una media de actividad alta. El propietario es el Sr.@Gurudelainf

  • www.hackplayers.com/: El blog de Vicente Motos es uno de los más consagrados en el panorama Infosec en castellano. Un ritmo de publicaciones espectacular, una al día, o al menos los días de trabajo. Información útil de todo tipo, de todo tipo de niveles técnicos y divulgación. Noticias, contribuciones de todo tipo de escritores. La mejor web tipo noticias sin duda.

  • www.israelmb.es: Israel es un tipo de Murcia, apasionado por las redes, los sistemas, muestra de ellos es los númerosos premios de fabricantes que le otorgan por su dedicación. Lecturas obligatorias si manejas cualquier de las tecnologías que trabaja. Vmware, Veeam, Microsoft, System Center, etc.

  • www.jsitech.com: Mi amigo Jason Soto lleva varias iniciativas en danza, una de ellas es el blog donde nos obsequia con interesantes artículos sobre seguridad en general. Docker está siendo últimamente su área de estudio. Linux en general. Una muy buena web y muy buena iniciativa la de IT-talks.

  • www.kontrol0.com: Te gusta el hacking? te gusta linux. Pulse aquí para continuar…

  • www.lachisterablanca.com: Este tipo es hacker !!! Dedica su tiempo a realizar estudios, intrusiones (éticas) en empresas y nos documenta con detalle los procesos. El autor José Rabal aparece en el salón de la fama como “recompensa” en la mayoría de fabricantes y portales web.

  • www.neuronasdigitales.com: Grandisimo blog del sr Chica. POCO actualizado, esto es un tirón de orejas. Actualiza !!! x

  • www.pentester.es: Blog de contenido muy técnico del Sr. @JoseSelvi . Tenemos suerte de que ha retomado el ritmo de publicaciones, y en mi opinión, gran acierto el retomar el idioma castellano.

  • www.sec-track.com: Un portal completo dedicado a la seguridad. Niveles de todo tipo, soluciones a retos CTF. Artículos de muy buen contenido técnico. me gusta !!

  • www.securityartwork.es: Blog propiedad de la empresa S2, tiene a cientos de colaboradores escribiendo artículos de calidad. Suelen ser de índole técnica media y alta. Su Community Manager para redes sociales es el mejor del panorama. Aparte de la divulgación y el auto-bombo, nos sorprende con enlaces curiosos, simpáticos y sobre todo muy útiles. Gran página y gran trabajo de su gente.

  • www.securitybydefault.com : Mayo de 2008, se juntan 4 tipos expertos en la materia y montan una de las webs más atractivas en materia de seguridad informática durante muchos años. Cada autor le aporta una visión a los artículos, desde noticias y descripción de herramientas, hasta investigaciones en profundidad, procesos ofensivos, defensivos, forense, etc. Cuentan con la ayuda de colaboradores en algunos artículos que lo que hace es enriqueces aún mas la calidad de los contenidos. Yo aprendí seguridad con SBD debería ser la camiseta de moda de este verano. Gracias señores !!!

  • www.seguridadjabali.com/: Blog principalmente mantenido por Ángel, el jabato !!! Últimamente nos tiene sin mucha actividad. Nos acostumbró al cielo, y nos los quitó !!! Información para todos los públicos con enlaces de interés sobre materias de seguridad y tecnologías Microsoft.

  • www.sniferl4bs.com/: Don JOSE !! Otro de los proyectos favoritos por la comunidad blogger. Un tipo que escribe sobre todo lo que pasa por sus manos en materia de seguridad. Puedes aprender sobre BURP con su excelente serie de artículos. Sus hazañas en los procesos de certificación que lleva entre manos. Un blog con contenido para todos los públicos, de todos los niveles. Eres un crack !!!

  • www.spiderbond.net/: Interesante proyecto de reciente creación sobre 3 profesionales de la seguridad de variopintos orígenes. Contenido técnico bajo y divulgación. Los responsables son la Señora @sbarrera0 y los Señores @CiberPoliES y @JagmTwit.

miércoles, 16 de septiembre de 2020

Entorno Microsoft vulnerable...Esta vez con DSC

 Estimados amigos de Inseguros !!!

En el episodio de hoy vamos a ver una herramienta muy interesante diseñada por el señor https://twitter.com/ciberesponce que nos hará la vida mucho más fácil.

Es un conjunto de scripts que nos despliegan un laboratorio de pruebas en Azure con todo tipo de bondades.

Hace unos días ya presenté en Inseguros la herramienta Adaz, similar en el concepto pero muy distinta. En esta ocasión la herramienta despliega el entorno mediante el uso del Resource Manager y DSC.

Para los que no estéis muy familiarizados con DSC, comentar brevemente que como su nombre indica, es una configuración de estado deseada para nuestras máquinas, físicas o virtuales. Imagina una consultora que instala dominios en clientes. Instalar un DC al final siempre son los mismos Roles y configuración. Creando una plantilla DSC podemos automatizar el despliegue de los mismos, dando respuesta al término de moda "infraestructura como código".

Lo interesante de este set de scripts y configuraciones radica en que se provocan fallos conocidos, algunos más sencillos que otros, para que el defensor entrene el ataque y la detección y defens.

Os pongo un ejemplo de un setting:

ScheduledTask RonHd
{
TaskName = 'SimulateRonHdProcess'
ScheduleType = 'Once'
Description = 'Simulates RonHD exposing his account via an interactive or scheduled task manner. This mimics the machine being managed.'
Ensure = 'Present'
Enable = $true
TaskPath = '\AatpScheduledTasks'
ExecuteAsCredential = $RonHdDomainCred
ActionExecutable = 'cmd.exe'
Priority = 7
DisallowHardTerminate = $false
RepeatInterval = '00:10:00'
RepetitionDuration = 'Indefinitely'
StartWhenAvailable = $true
DependsOn = '[Computer]JoinDomain'
}

Para hacer el procedimiento voy a usar el AZ cli desde la web. Mucha gente no lo usa y se lia conectando el cliente azure con powershell...vamos... por usar solo la web.

New-AzResourceGroup -Name laboratorio2

West Europe

git clone https://github.com/microsoft/DefendTheFlag

cd ./DefendTheFlag/

New-AzResourceGroupDeployment -ResourceGroupName laboratorio2 -TemplateFile .\azuredeploy.json


Si todo ha ido bien verás tu nuevo grupo de recursos en Azure con las máquinas implicadas.



Podemos leer la lista de usuarios y contraseñas del siguiente recurso. Os aconsejo que los sintetice en un folio o documento para su uso, son muchos usuarios, contraseñas que no hemos puesto nosotros ( a no ser que lo cambies)

Una de las cosas que me gusta es que tiene fases o stages, en las que podemos hacer un snapshot en cualquier momento y revertir el estado de la máquina, por ejemplo, si estamos dando formación y queremos reiniciar las configuraciones, o si tenemos algún problema después de configurar cualquier elemento.

PS C:\Users\Administrador\DefendTheFlag\Stage > .\New-BackupVmsToDisk.ps1 laboratorio2

[!] Starting backup process for laboratorio2, Location: East US 2

[!] Stopping VMs to prepare them to be Snapshotted

        [ ] Stopping VM: AdminPc

        [ ] Stopping VM: AdminPc2

        [ ] Stopping VM: Client01

        [ ] Stopping VM: ContosoDc

        [ ] Stopping VM: Ubuntu-Katoolin

        [ ] Stopping VM: VictimPc


Id     Name            PSJobTypeName   State         HasMoreData     Location             Command

--     ----            -------------   -----         -----------     --------             -------

1      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

2      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

3      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

4      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

5      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

6      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

[+] All VMs Stopped... proceeding

[ ] Taking snapshots of 6 VMs

        [AdminPc] Taking snapshot

Sin duda un gran recurso para aprender, pero no solo sobre este laboratorio, sino para crear nuestra infraestructura como código personalizada, bien sea para laboratorios, producción, o para hacking...

Gracias por leerme !!!


martes, 8 de septiembre de 2020

Triunfar en la vida no es solo triunfar... reflexiones de un no-triunfador...

 Estimados amigos de Inseguros !!!

En el episodio de hoy quería reflexionar con algunos conceptos que si bien no están ligados directamente con la ciberseguridad o los sistemas, ocurrió después de una situación que vi en las redes sociales, esta sí relacionada con la ciberseguridad, más bien con un famosillo...

Sin darle importancia al por qué, me gustaría expresaros algunos pensamientos relacionados con la sociedad y lo que se entiende por triunfar. Parece que estamos obligados a triunfar en la vida, lo vemos constantemente en diferentes ámbitos y aunque me considero una persona involucrada con la mejora constante y el crecimiento (físico? xD ) , entiendo que no siempre en la vida se triunfa, o no al menos, de la manera en la que parece que debemos triunfar. Y empiezo con hilos Random...

Triunfar en los videojuegos vs el futbol.

Si estás en edad de criar, y tienes pequeños...o medianos...entre los... 8 y 18? conocerás el fenómeno Gamer/youtuber. Cuando era crío, los críos normales soñaban con ser futbolistas. No era algo muy malo, ya que aunque seas del Mandril o del Barça, del Boca o de River, que tu hijo quiera ser deportista no es tán malo. En aquella época lo que no se permitía era que dejarás los estudios porque querías ser futbolista. Tus padres te llevaban a entrenar, algo positivo, pero al final había un veredicto. Con 12/14 años harías unas pruebas para un equipo, seguramente el principal o secundario de tu ciudad, con suerte, y en ese momento el niño recibía el inevitable jarro de agua fría. Si valías seguías, si no, claramente entendías que sí, que el fútbol como deporte estaba bien ( o no, depende si ya habías probado el alcohol y los morreos xD) pero que no tenías el talento que había que tener para triunfar, para dejarte los estudios ( lo que queríamos casi todos los niños) y dedicarte a tu pasión.

Vamos a poner el caso de ahora mismo. Los niños ahora por lo general no quieren ser futbolistas, ahora quieren ser gamers. Quieren aunar lo que les gusta, jugar el conter, al maincraf, al gou, al lol ( SIII, daña la vista, lo se !! ) con su carrera profesional.Tengo que reconocer que como viejuno que soy, me maravilla eso, porque FLIPO con que la gente gane pasta por jugar, pero bueno, existe un GRAN mercado profesional en la industria del videojuego. PERO el problema para el educador, para los padres que tienen que decirle al niño "déjate el juego y estudia !!" se enfrentan a que realmente el niño puede argumentar que es su pasión, su afición, su talento, que es muy bueno, que en su servidor/partida/grupo de amigos... es un máquina, y que hay niños como él ganando millones de euros... Es distinto aterrizar en la realidad con un entrenador de fútbol que no te ficha, a este planteamiento. Lo digo porque aunque no es mi caso, me consta que es algo que está ocurriendo.

Pero volviendo al caso inicial, al triunfar, qué es realmente triunfar en los videojuegos? Ser profesional? Tengo amigos de más de 40 años jugones, muchos de vosotros, que lo mismo nunca han tenido esa pretensión profesional, pero que disfrutan de sus videojuegos. Es su hobby. Su entretenimiento, su pasión. ellos no han triunfado?

Vamos al caso del fútbol. Uno de mis amigos en concreto le gustaba mucho. Llegó a algún club no recuerdo si 3 regional, cobrando 1500euricos y dedicando sus primeros años laborales en el fútbol, pero no llegó a más. Sin embargo, hoy en día tiene un físico envidiable. Sigue jugando al fútbol un par de días a la semana, y encima entrena a unos chavales en el barrrio donde nacimos. Esta persona ha triunfado? tiene un hobby sano, ayuda a los jóvenes, es ordenado y disciplinado, creo que SI ha triunfado, sin llegar a jugar en el Real Murcia o en Valladolid...

El cantante de rock...o rap...

Otro ejemplo que comentaba con un buen amigo es el del rap. Desde que era bien crío me moví en esos ambientes de hip-hop, graffitis y primera escena del rap en España. Mis amigos le tiraron mucho llegando a grabar varias maquetas en la época de las TDK y eran bastante buenos. 

Cuando comenzábamos en esto, yo incluido, nos codeamos en los conciertos con gente como Kase-o, Zatu de Sfdk, CPV, etc... con lo que había... buenos y malos nos juntábamos, éramos los que éramos...

Esto que te mencionen han triunfado en la vida, han conseguido desarrollar su profesión en la industria musical, llegando a ser de los mejores de España y habla hispana. Con sano envidia vemos a estas estrellas como han triunfado, OJO, gracias su esfuerzo y talento, merecidísimo !!!

Pero le comentaba a mi amigo, que era de los que en los 90 empezó con el hip hop en España, que él también había triunfado. Con 49 años sigue haciendo ritmos, ahorrando las cuatro perras que puede para sus aparatos. Sigue en el local de ensayo con los 4 amigos juntándose a cantar. A grabar temas, maquetas que duran 5 años en salir porque nunca están suficientemente bien. Sin cantar en conciertos, sin fans, sin el estímulo que supone que te paguen... todo lo contrario... les cuesta dinero.

Para mi eso es triunfar, porque después de 30 años, sigues haciendo lo que te gusta. No han caído en la mediocridad de tener una vida de mierda, trabajando... comprando en el Mercadona... y yendo a ver a los padres/suegros los domingos, y YA ESTÁ !!! Ojo, no me malinterpretes, no digo que eso no sea bueno, hablo de las vidas de mierda :-)

El éxito en la ciber...

Conozco muchos profesionales TOP TOP TOP que no conoces, que no han dado charlas nunca, que no han escrito un libro. Que ni tan siquiera trabajan en ciber algunos, u otros que lo hacen pero no lo hacen para grandes empresas mundiales, pero tienen el mejor trabajo del mundo...

Como he comentado en muchas ocasiones, triunfar en la ciberseguridad no debe ser tu prioridad. Debe ser dedicarte en lo que te gusta, y ser lo mejor que puedas. 

Si tu meta es dar una charla en Rooted, como pudo ser la mía en un momento, qué pasa si no lo haces? qué pasa si lo haces? 

El éxito no es ser el number one en HTB, o sí, pero cuando lo consigas, tendrás que irte a otra cosa no?

YO

Quizás llevar este tipo de vida aburrida, tranquila, repetitiva, sin momentos para ti, para los demás, también sea una manera de triunfar... imagino que será según seas.

Pero me refiero a eso, a que según como seas, para ti triunfar será una cosa u otra.

En mi vida profesional, la que conocéis, he tenido varios triunfos, muchos !!! pero estos no tienen que ser los que la sociedad, o el gremio indican que "deben ser".

Qué Seguridad a lo jabalí me introdujera sin querer en las redes sociales para mi fué un triunfo.

Que me dieran el MVP de Microsoft fué un triunfo.

Que la gente de Navaja Negra me concediera el honor de dar mi primera charla en este mundo fue un fucking honor.

En cada CFP que he echado en cada conferencia que me has visto ha sido un pedazo de triunfo.

Tener un trabajo que me gusta asociado al estilo de vida que me permite, es un triunfo, quizás, el que más.

Que me leas, que le des a un me gusta, que me comentes, eso no es un triunfo, es más, es una necesidad !!! día a día me motiva a ser mejor persona pensar que hay 10 personas que me leen.

Para mi personalmente no es triunfar trabajar en una empresa que me obliga a currar 50 horas, aún cuando no quiero, por ser una grande, con nombre, o con un cargo importante.

No me importa ser Head, Manager o King.

No me importa llevar un coche, casa, ropa... acorde con lo que se supone que debe conducir, vivir o vestir. 

Es muy importante en la vida saber gestionar las derrotas, porque suelen ser más que las victorias, y sin ellas, estas últimas carecerán de valor.

Es importante conocer nuestros límites, y establecer metas alcanzables, y que tus triunfos los decidas tu, no una sociedad que quiere que tengas un BMW, una casa en el campo pero que trabajes de 8 a 8 y que los sábados vayas a las bodas de tus compañeros sin tener ganas...

Triunfar no es firmar autógrafos, no es echarte fotos con admiradores, ni tan siquiera si son groupies.

Triunfar no es publicar que has corrido 10 km esta tarde a un ritmo de no sé qué... o si !!!! cada uno lo decide, pero hay algunas posturas que no comparto, y por eso escribo sobre ellas.

Anímate a contarnos a todos cual serían tus triunfos, o tus mayores derrotas !!! 

Gracias por leerme, ha sido un TRIUNFO que llegas hasta aquí. xDDD


jueves, 3 de septiembre de 2020

Papa quiero hacer Phishing... consideraciones ofensivas para ser defensivos...

 Estimados amigos de Inseguros !!!

Lectores asiduos a este blog de tecnología no merecen que expliquemos qué es un Phishing. Cualquier usuario de Internet, o el 95% de los mismos reconocen este concepto.

Lo que puede no estar tan claro es algunos aspectos relacionados con el mismo, como por ejemplo cómo realizar un buen ataque de este tipo, y sobre esto, aleccionar al defensor para que implemente detecciones en base a estos comportamientos conocidos.

En ningún momento pretendo dar una guía de cómo realizar la campaña de phishing perfecta, la misión como siempre es aprender para luchar contra los malos.

https://www.curious-frank.com/post/fish-and-chip-day-or-phish-and-chip-day

Hay muchos pequeños aspectos a tener en cuenta para realizar las acciones ofensivas, y también a evaluar en productos o soluciones defensivas que pretenden combatir el problema del phishing, spam y vectores de correo. Conocer los ataques te ayudará a conocer las defensas, y viceversa.

Honey Traps

Cuidado con listas de correos masivas o correos no verificados. Existen los Mail Traps, honey traps ,etc... Son direcciones de correo de cebo que se ubican en listas, en algunos sitios en páginas web, en foros... El funcionamiento es sencillo, como es una dirección trampa, si alguien envía un correo a esa dirección, es porque está haciendo una acción masiva, y con muy alto riesgo de ser maliciosa. Si detectamos un "sender" que envía a un honey traps, podemos catalogarlo como spam y bloquearlo. Si estás usando listas, comprueba previamente en que el correo existe o se gestiona. Lo mismo pasa con los proveedores de correo con direcciones que llevan mucho tiempo en desuso y que de repente tienen actividad.

Longevidad

Si has contratado un VPS para instalar tu servicio de envío de correos, seguramente los MTA de destino no acepten tu correo ya que una práctica habitual en la lucha contra el spam es medir longevidad del dominio. Usar servidores de transporte como Mailchimp y servicios de marketing suele aumentar las posibilidades de que tu Phishing no caiga en la bandeja de no deseados por sospechoso.

SPF, DKIM y DMARC

Al igual que usamos estas tecnologías o medidas de protección, ampliamente conocidas, si lo que queremos es saltarnos las protecciones de nuestros destinos, debemos configurar nuestro servidor/dominio de origen con estas "protecciones".

Frecuencia

Si usas un VPS o sistema nuevo, y vas poco a poco generando "ruido", enviando mails, irás ganando reputación. No es lo mismo enviar 10 correos desde tu servidor de correo, que un servidor de un banco con reputación contrastada que envía 500 correos cada 10 minutos. Vigila la frecuencia, trabaja para "entrenar" al mundo en que tu servidor es legítimo, y realiza las campañas con muy poco ruido, envíos con pocos destinatarios y con mucho espaciado.

Cuidado con el clonado

Si vas a realizar un Phishing, lo normal es que lo hagas contra un recurso de tu CLIENTE ( recuerda, somos buenos :-) ) y no sobre un target "jugoso" como un login de O365, Gmail, Facebook, etc... Si clonas un formulario para tener el "look and feel" del sistema a suplantar, corres el riesgo de que las plataformas de seguridad de e-mail reconozcan que no es normal tener un html con etiquetas "conocidas" y te cazen en este sentido. Si no tienes otra que usar este "clonado" de webs conocidas, intenta enmascarar todo el html con cambios que hagan saltarse esta protección.

Smart Network Data Service

Para comprobar nuestra efectividad en las campañas, podemos usar un recurso muy interesante de Outlook.com para conocer qué está ocurriendo en las bandejas de correo de destino de nuestros objetivos, para saber si estamos haciendo algo mal y caen como spam y tenemos que afinar.

Return Path o X-Sender

Un mecanismo muy sencillo de utilizar en las campañas es indicar un campo en el from, una dirección de correo real, de la empres por ejemplo, pero añadir un return-path o x-sender con la dirección real del "malo", donde queremos que llegue. Imagina el escenario en el que usas un servicio de envío masivo, la típica empresa de marketing, pero quieres que te respondan a ti, no a la empresa de marketing...

Crear una regla en el siem o similar para detectar diferencias entre el form y estos campos puede ponernos sobre aviso.

Otra medida de protección es implementar un cambio en el asunto o cuerpo del mensaje cuando se detecta un cambio, o por ejemplo, lo que hacen muchas organizaciones es cambiar el mensaje con un texto para los correos que provienen del exterior. De esta manera, alertamos al usuario a que no es correo interno, aunque el dominio "se parezca" o simplemente aumentar su nivel de "alerta" o sospecha con adjuntos de otras empresas.

Adjuntos peligrosos

Al igual que teníamos que llevar mucho cuidado con el clonado de formularios de login, tenemos que hacerlo con los adjuntos. Si metemos un word con Macro y nos detectan el malware, seremos inscritos en una lista pública y se nos acabará el chollo. Prueba tus payloads antes de enviarlos y prepara la evasión antes de hacer la campaña. Esto también es aplicable al MTA del destino. Si la "víctima" usa gmail, o365, etc, comprueba sobre estas plataformas tus técnicas antes de lanzarlo en "producción". 


Al final todos sabemos que el vector de ataque principal en lo ataques cotidianos suele ser el correo y el usuario, e independientemente de la mejora en la formación con campañas y entrenamiento, la parte técnica es muy importante y debemos trabajarla como cualquier otro vector.

Espero que te sirva de ayuda, gracias por leerme.