Primera tarde técnica de Abirtone

January 14, 2016, 12:05 am

≫ Next: Hacking con Python para Pentesters y Programación Móvil en TAES Valencia

≪ Previous: Pentesting con Kali, con Powershell y Forense en Android online para todos. Security Lab ¡Últimos días!

$

0

0

A los amigos se les ayuda. Sin mirar más allá. Hoy queríamos comentaros que el próximo Martes 19 de Enero a partir de las 19.00 se celebrará una jornada técnica por parte de la empresa de Daniel García, aKa Cr0hn, Abirtone. El cartel de la jornada, simplemente... promete. Es gratis. Se celebrará en el +KeCopas de la calle Infantas 13. Dónde se celebraron algunos Hack & Beers Madrid. 

Según indica el propio Daniel en su web: "será una tarde técnica y práctica, impartidas por nuestros profesores, que se han prestado para que paséis una tarde entretenida e interesante aprendiendo. Para nuestro primer evento queríamos algo informal, alejándonos del tradicional evento de traje y corbata así que… ¿qué mejor que hacer las jornadas en un bar, con una cañita en mano?"

Anímate!

---

Hacking con Python para Pentesters y Programación Móvil en TAES Valencia

January 15, 2016, 12:15 am

≫ Next: Informe Flu - 236

≪ Previous: Primera tarde técnica de Abirtone

$

0

0

Enero sigue avanzando y el día a día va retomando nuestras vidas. Hoy os traemos un par de cursos que se celebran en el centro de formación TAES en Valencia. Tuve la experiencia de impartir 3 cursos el año pasado y fue una gran experiencia. En muchas ocasiones no tenemos tiempo para hacer los cursos que queremos por temas de horas. TAES lo pone fácil haciendo que el curso sea en Sábado, en horario de 10.30 a 20 horas. Comida incluida. 

El primer curso que se celebra es el de Programación Móvil: Arquitecturas y Proyectos M2M y de Movilidad. La fecha es el 23 de Enero a las 10.30 en el centro de formación TAES. El profesor es Carlos Arroyo Coronado. Tenéis más información en el link del curso. En este curso se podrá obtener el libro de Desarrollo seguro en Android de la editorial 0xWord.

El segundo curso es el de Hacking con Python para Pentesters. Este curso se celebrará el día 30 de Enero de 2016 a las 10.30 hasta las 20. El profesor es Daniel Echeveri - @jdaanial, autor de los libros Python para Pentesters y Hacking con Python de la editorial 0xWord. Más información en el link del curso. Además, el alumno podrá conseguir los libros de Daniel en el curso.

Las formaciones son bonificables por la Fundación Tripartita. No esperes y reserva tu plaza. TÉCNICAS AVANZADAS DE ESTUDIO S.L. - Pasaje Ventura Feliu 10-12. Para inscripciones dirigirse por email a rfuentes@taesformacion.es o al teléfono 963413537.

Informe Flu - 236

January 17, 2016, 1:12 am

≫ Next: Taller: La importancia del análisis de información en el siglo XXI

≪ Previous: Hacking con Python para Pentesters y Programación Móvil en TAES Valencia

$

0

0

Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana:

Lunes 11 de Enero

• El lunes iniciamos la semana hablando del curso Experto Profesional en Derecho Tecnológico e Informática Forense de Ancite y la Universidad Extremadura

Martes 12 de Enero

• El martes publicamos el artículo Listados de contraseñas por defecto. Parte 2. Al cual seguiremos dando continuidad a lo largo de las próximas semanas :)

Miércoles 13 de Enero

• El miércoles os hablamos del curso Pentesting con Kali, con Powershell y Forense en Android online para todos. Security Lab ¡Últimos días!, con interesantes contenidos para los apasionados del pentesting.

Jueves 14 de Enero

• El pasado jueves os anunciamos la Primera tarde técnica de Abirtone, que se celebrará en el local +KeCopas (es el mismo local donde se celebran de forma regular las Hack&Beers de Madrid)

Viernes 15 de Enero

• El viernes anunciamos la formación Hacking con Python para Pentesters y Programación Móvil que tendrá lugar en TAES Valencia

Saludos!

Taller: La importancia del análisis de información en el siglo XXI

January 18, 2016, 12:57 am

≫ Next: Especialista en Seguridad Informática y de la Información por la UCLM (Online)

≪ Previous: Informe Flu - 236

$

0

0

Dentro de las actividades incluidas en el Programa de Innovación en Ciberseguridad-PIC, Deusto Business School, participaremos el próximo día 25 en el Taller “Ciberinteligencia: la importancia del análisis de información en el siglo XXI”, que impartiremos mi compañero Javier Santos, y un servidor, Juan Antonio Calles.

En el taller se profundizará en las claves de la Ciberinteligencia desde diferentes perspectivas y entre otros, los asistentes al mismo podrán conocer demostraciones de distintas pruebas OSINT en tiempo real.

¿ACEPTAS NUESTRO RETO Y NOS ACOMPAÑAS EN EL TALLER?

INSCRIPCIÓN

Javier Santos comenzó su carrera profesional en Europa Management Consulting en el año 1994. En el año 2002 se incorporó a Ernst & Young en Madrid como Senior Manager en ITRS y en el año 2008 se incorporó a ONO en la Dirección de Seguridad Corporativa, donde desde 2010 fue Director de Seguridad Corporativa de la empresa. En esa posición ha sido el máximo responsable de Seguridad incluyendo, entre otras, las funciones corporativas de Seguridad de Sistemas de Información, Ciber Security Operations Center, Seguridad Física, Fraude Tecnológico, Gestión de Requerimientos de Información y Gestión de Continuidad. Desde Octubre de 2014 se ha incorporado a KPMG como Director de Ciberseguridad.

Juan Antonio Calles es Cyber Security Senior Manager en KPMG España. Fue socio fundador y director de la compañía especializada de ciberseguridad Zink Security, perteneciente actualmente a KPMG. Ingeniero en Informática de Sistemas, Postgrado en Tecnologías de la Información y Sistemas Informáticos y Postgrado en Ingeniería de Sistemas de Decisión, actualmente realizando un Doctorado en Informática sobre Seguridad de la Información. Certified Hacking Forensic Investigator (CHFI v8) por Ec-Council, CISA por la Isaca, ITIL v3 por EXIN, Dlink Certified, FCSI y FTSAI. Es miembro de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica (ANCITE). Es ponente habitual en diversos foros y congresos de seguridad, entre los que se encuentran No cON Name, RootedCon, HomeSec y SID, y co-organizador del congreso X1RedMasSegura.

Día: 25 de enero

Lugar: Oficinas KPMG

Edificio Torre Europa

Castellana 95

Madrid

Hora: 18:00 - 20:00

Especialista en Seguridad Informática y de la Información por la UCLM (Online)

January 19, 2016, 1:28 am

≫ Next: Android Locker Qqmagic, un ransomware para smartphones

≪ Previous: Taller: La importancia del análisis de información en el siglo XXI

$

0

0

Hace unos meses José Luis Martínez se ponía en contacto con Rafa Sánchez y conmigo para llevar a cabo un ambicioso proyecto. Llevar la seguridad informática a un título universitario. En este caso hablamos de un título propio o de especialización que llevará al estudiante por diversos contenidos que harán que pueda entrar en el mundo laboral con los conocimientos necesarios. Hemos trabajado en tener un elenco de profesores diverso y especializado en distintos ámbitos de la seguridad informática. También hemos pensado que las personas dedicadas a la seguridad informática deben tener una mínima base sobre seguridad de la información. Esto se ve reflejado en el contenido del título.

El título propio se llevará a cabo de forma online a través de un gestor como Moodle, dónde los alumnos contarán con herramientas como Foros y apuntes para realizar el aprendizaje. Además se llevarán a cabo sesiones online de 2 horas dónde los profesores impartirán sus clases con un enfoque eminentemente práctico. La herramienta utilizada para las sesiones será Webex. El objetivo del título propio es formar a profesionales en el ámbito de la seguridad informática. El primer bimestre se dan los siguientes contenidos, los cuales pueden verse en detalle en el sitio web del título propio. 

Queríamos que el alumno pueda elegir su especialización, por lo que para el segundo bimestre, el alumno puede elegir su especialización. A continuación, podéis ver qué asignaturas se darán, tanto en la rama de especialización en forense, como la de pentesting en redes y sistemas. 

Los profesores con los que contará el título propio son los que se enumeran a continuación. Cómo podéis ver hay gran calidad entre los profesores, y cada uno especializado en la asignatura que impartirán.

• Juan Garrido (@Silverhack)
• Pablo González (@pablogonzalezpe)
• Marc Rivero (@Seifreed)
• Jordi Serra (@jserrai)
• Rafa Sánchez (@r_a_ff_a_e_ll_o)
• Carmen Torrano Giménez
• David Meléndez Cano
• Daniel García García (cr0hn)
• Félix Brezo
• Yaiza Rubio
• Miguel Ángel Arroyo
• Eduardo Sánchez (@edusatoe)
• Javier Plaza
• Daniel González
• Miriam García
• Eduardo Arriols Nuñez
• Juan Francisco Bolívar
• Raúl Fuentes Ferrer
• Valentín Martín Manzanero

Los alumnos matriculados en el título propio recibirán 5 libros de la editorial 0xWord como material complementario al que los profesores puedan darles. Los libros que se entregarán son los siguientes:

• LOPD.
• Metasploit para pentesters.
• Ethical Hacking: Teoría y práctica para la realización de un pentesting.
• Hacking aplicaciones web: SQL Injection.
• Hardening a servidores GNU/Linux.

Para más información se puede acceder AL SITIO WEB o contactar con joseluis.martinez@uclm.es. 

Android Locker Qqmagic, un ransomware para smartphones

January 20, 2016, 3:01 pm

≫ Next: Certificado Profesional de Análisis Informático Forense

≪ Previous: Especialista en Seguridad Informática y de la Información por la UCLM (Online)

$

0

0

Buenas a todos, el pasado año 2015 y este 2016, están siendo años complicados para los usuarios que no disponen de una protección antivirus y antispyware adecuada, ni cuentan con medidas de seguridad actuales que les permitan bloquear las últimas amenazas ransomware. 

En el mercado Android es cada vez más habitual casos como el que hoy veremos, en el que un ransomware se hace con el control del terminal, cifrando sus contenidos y pidiendo un rescate. Este es el caso de Android Locker Qqmagic, un malware de origen chino reportado por Lukas Stefanko (https://twitter.com/LukasStefanko/status/607823196562276352), que tras realizar la infección presenta una pantalla como la siguiente:

En el siguiente enlace podréis descargar una muestra del ransomware, para que podáis analizarlo y el cual y como es lógico os recomiendo abrir en una máquina virtual aislada:

Descargar muestra del malware Android Locker Qqmagic 

A continuación os dejamos también con el enlace al informe realizado por Virus Total al subir la muestra:

https://www.virustotal.com/en/file/b914c0dd57ffcb1c96cf37d61a3ae052a5372f01c5fac3ea0535bbdb0da862dd/analysis/

Y a Contagio Mobile, donde reportaron el link a la muestra (¡gracias!):

http://contagiominidump.blogspot.com.es/2015/06/android-ransomware-locker-with.html

Es interesante ver en el análisis estático realizado por VT, como el sistema accede a las funciones criptográficas para realizar el cifrado de archivos del móvil antes de pedir el rescate.

Risk summary The studied DEX file makes use of API reflection
The studied DEX file makes use of cryptographic functions
Permissions that allow the application to manipulate SMS
Permissions that allow the application to perform payments
Permissions that allow the application to access Internet
Permissions that allow the application to access private information
Other permissions that could be considered as dangerous in certain scenarios

Required permissionsandroid.permission.SEND_SMS (send SMS messages)
android.permission.RECEIVE_BOOT_COMPLETED (automatically start at boot)
android.permission.SYSTEM_ALERT_WINDOW (display system-level alerts)
android.permission.ACCESS_NETWORK_STATE (view network status)
android.permission.RECEIVE_SMS (receive SMS)
android.permission.INTERNET (full Internet access)

También os comparto el listado de antivirus que lo detectan a día de hoy:

Antivirus	Result	Update
AVG	Android/Deng.GLY	20151222
AVware	Trojan.AndroidOS.Generic.A	20151222
Ad-Aware	Android.Trojan.SLocker.EG	20151222
AhnLab-V3	Android-Trojan/SmsSpy.ddc0	20151221
Alibaba	A.H.Rog.LockScreen.A	20151208
Arcabit	Android.Trojan.SLocker.EG	20151222
Avast	Android:SMSSend-AEL [Trj]	20151222
Baidu-International	Trojan.Android.Jisut.N	20151222
BitDefender	Android.Trojan.SLocker.EG	20151222
CAT-QuickHeal	Android.Agent.Ae0d5 (PUP)	20151222
Cyren	AndroidOS/GenBl.735B4E78!Olympus	20151222
DrWeb	Android.SmsSend.3003	20151222
ESET-NOD32	Android/LockScreen.Jisut.N	20151222
Emsisoft	Android.Trojan.SLocker.EG (B)	20151222
F-Secure	Android.Trojan.SLocker.EG	20151222
Fortinet	Android/LockScreen_Jisut.N!tr	20151222
GData	Android.Trojan.SLocker.EG	20151222
Ikarus	Trojan.AndroidOS.Locker	20151222
K7GW	Trojan ( 004c543a1 )	20151222
Kaspersky	HEUR:Trojan-SMS.AndroidOS.Agent.us	20151222
McAfee	Artemis!735B4E78B334	20151222
McAfee-GW-Edition	Artemis!Trojan	20151222
MicroWorld-eScan	Android.Trojan.SLocker.EG	20151222
NANO-Antivirus	Trojan.Android.SmsForward.dxesnz	20151222
VIPRE	Trojan.AndroidOS.Generic.A	20151219
Zillya	Trojan.LockScreen..17	20151221
Zoner	Trojan.AndroidOS.SimLocker.A	20151222
ALYac		20151222
AegisLab		20151222
Agnitum		20151220
Antiy-AVL		20151222
Bkav		20151221
ByteHero		20151222
CMC		20151217
ClamAV		20151222
Comodo		20151222
F-Prot		20151222
Jiangmin		20151221
K7AntiVirus		20151222
Malwarebytes		20151222
Microsoft		20151222
Panda		20151221
Rising		20151222
SUPERAntiSpyware		20151222
Sophos		20151222
Symantec		20151221
TheHacker		20151222
TotalDefense		20151222
TrendMicro		20151222
TrendMicro-HouseCall		20151222
VBA32		20151221
ViRobot		20151222
nProtect		20151222

Certificado Profesional de Análisis Informático Forense

January 22, 2016, 2:00 am

≫ Next: Informe Flu - 237

≪ Previous: Android Locker Qqmagic, un ransomware para smartphones

$

0

0

El próximo 29 de Enero The Security Sentinel comienza el curso de Certificado Profesional de Análisis Informático Forense (CPAIF). TSS ha decidido realizar cursos en formato presencial. A continuación os dejamos una serie de datos para los interesados. Para obtener más información contacta con info@flu-project.com o info-nline@thesecuritysentinel.es. Hay que recordar que se realizará una prueba que confirme que el alumno ha superado con aprovechamiento el curso, y por ello obtendrá el certificado.

Informe Flu - 237

January 24, 2016, 1:24 am

≫ Next: 3 edición de Hackron: 5 y 6 de Febrero

≪ Previous: Certificado Profesional de Análisis Informático Forense

$

0

0

Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana:

Lunes 18 de Enero

• El lunes iniciamos la semana hablando del Taller: La importancia del análisis de información en el siglo XXI, que tendrá lugar mañana en las instalaciones de KPMG Madrid (Paseo de la Castellana, 95). Ya no hay plazas libres, pero os hablaremos del taller próximamente en el blog.

Martes 19 de Enero

• El martes os hablamos del título propio Especialista en Seguridad Informática y de la Información de la UCLM (Online)

Jueves 21 de Enero

• El pasado jueves os hablamos del malware Android Locker Qqmagic, un ransomware para smartphones de lo más pintoresco.

Viernes 22 de Enero

• El viernes anunciamos la formación Certificado Profesional de Análisis Informático Forense de thesecuritysentinel.es

Saludos!

---

3 edición de Hackron: 5 y 6 de Febrero

January 25, 2016, 3:27 am

≫ Next: Informe Flu - 232

≪ Previous: Informe Flu - 237

$

0

0

Buenas a todos, en el post de hoy nos gustaría recomendaros la asistencia a la tercera edición de Hackron. La CON canaria carnavalera con más éxito que en esta ocasión se celebrará 5 y 6 de Febrero en la capital Santa Cruz de Tenerife (Islas Canarias).

En el evento de este año se darán cita profesionales del campo de la ciberseguridad como Miroslav Stampar (Keynote), Jose Luis Verdeguer, Pedro Sanchez, Pedro Candel, Juan Garrido, Jose Luis Verdeguer, Deepak Daswani, Pedro Laguna,  Igor Lukic, Jose Pico, Josep Albors, Luis Delgado, Lorenzo Martinez, Cecilio Sanz, etc. Por lo que promete buenas dosis de seguridad y juerga a partes iguales :)

Disponéis de las entradas a la venta en el sitio web de @Hackr0n en http://www.hackron.com, a precios para todos los públicos:

No dudéis en acercaros a Hackron,

Saludos!

Informe Flu - 232

December 19, 2015, 3:01 pm

≫ Next: El 11 de Febrero participaremos en el XII Ciclo de Conferencias UPM-TASSI

≪ Previous: 3 edición de Hackron: 5 y 6 de Febrero

$

0

0

Buenas a todos, como cada domingo os dejamos con nuestros “Enlaces de la semana”:

Lunes 14 de Diciembre

• El lunes iniciamos la semana publicando el artículo "El malware para Android de Flappy Bird"

Martes 15 de Diciembre

• El martes fue publicado el nuevo catálogo de cursos que mi compañero Pablo lanza junto con TSS: Cursos de Enero 2016. Empieza el año con alegría

Jueves, 17 de Diciembre

• Ayer mi compañero Pablo impartió un interesante Seminario gratuito titulado: Seguridad en la empresa en la URJC 

Saludos!

El 11 de Febrero participaremos en el XII Ciclo de Conferencias UPM-TASSI

January 27, 2016, 3:49 am

≫ Next: Wordpress del pleistoceno vulnerables hasta a la gripe, ¿hasta cuando?

≪ Previous: Informe Flu - 232

$

0

0

Buenas a todos, el próximo día 11 de Febrero tenemos el placer de participar en el XII Ciclo de Conferencias UPM-TASSI, que la Universidad Politécnica de Madrid organiza con los objetivos de:

• Dar a conocer los últimos avances en temas de seguridad y protección de la información desde diversos puntos de vista: las redes, los datos, la gestión, la legislación y los estándares.
  
• Dar a conocer avances y nuevos desarrollos en las tecnologías de la información.
  
• Fomentar el conocimiento y análisis crítico de la sociedad de la información, con sus aspectos positivos de desarrollo así como sus amenazas.
  
• Analizar el impacto social, ambiental y ético del uso de las tecnologías de la información y las comunicaciones, su accesibilidad y los entornos de libertad y privacidad del ser humano.
  
• Conocer la realidad empresarial, industrial y de los organismos del Estado, relacionada con la seguridad y la sociedad de la información. 
  

Este año inauguraremos el ciclo con una ponencia sobre Malware en dispositivos móviles, que tendrá lugar en la Sala de Grados de la ETSISI, a las 11:00 de la mañana.

A continuación os dejamos con el listado completo de ponentes de 2016:

1. D. Juan Antonio Calles García, KPMG Asesores S.L. - Flu Project
2. D. Rafael Sánchez Gómez, Eleven Paths
3. D. David Meléndez Cano Albalá, Ingenieros S.A. 
4. D. Óscar Tébar Serrano, Innotec
5. D. Pedro Sánchez Cordero, Conexión Inversa
6. D. Juan Garrido Caballero, Innotec System
7. D. Carlos García Sánchez
8. D. Luis Miguel Rosa Nieto, Presidente CIONET 

Y con la agenda de las conferencias:

Nos vemos en las jornadas,

Saludos!

Wordpress del pleistoceno vulnerables hasta a la gripe, ¿hasta cuando?

January 30, 2016, 4:24 am

≫ Next: Informe Flu - 238

≪ Previous: El 11 de Febrero participaremos en el XII Ciclo de Conferencias UPM-TASSI

$

0

0

Buenas a todos, en el post de hoy me gustaría realizar una crítica constructiva para todas aquellas empresas que se dedican a cocinar páginas web en Wordpress (aunque es extrapolable a Joomlas, Prestashops, Drupals, y demás gestores de contenido) para sus clientes y que no les explican cómo deben actualizar sus Wordpress, o en su defecto a todos aquellos clientes que desconocen, ignoran o no le dan la importancia suficiente a este sencillo proceso, el cual les evitaría de disgustos futuros innecesarios, cuando llegue un delincuente y en un barrido automático descubra que su Wordpress del pleistoceno "sin actualizar" sufre vulnerabilidades corregidas hace X años, y gracias a las cuales puede modificar sus artículos e incluir enlaces para "campañas de black SEO", links a páginas de viagra, y demás menesteres por los que se suelen sacar un dinerillo en las cantinas más turbias de Internet...

Ya hemos escuchado mil veces la cantinela de "si actualizo Wordpress se me descolocan los X" (sustituya la X por el texto "widgets", "plantilla", "banners", "anuncios", etc.). Quizás sea que la web no estaba tan bien programada y por ello todos sus contenidos se vayan al traste... pero esa es otra batalla en la que no vamos a entrar.

No puede ser, que en pleno año 2016, sigamos encontrando Wordpress versión "1.2", con una búsqueda en Google tan simple como la siguiente (he tapado los dominios por respeto):

• inurl:"readme.html" ext:html intitle:wordpress

Es importante reseñar que la versión 1.2 es del año 2004, es decir, de hace 12 años:

• https://wordpress.org/news/2004/10/wp-121/

Y por tanto, si en un Wordpress desactualizado unos meses con una versión 4.2.3 ya se sufren vulnerabilidades de inyección SQL con las que se puede actuar directamente sobre la base de datos...  (vease este interesante post: http://www.ethanjoachimeldridge.info/tech-blog/compromising-wordpress) ¿qué no podría hacerse en una versión de Wordpress de hace más de 10 años...?

Programadores, compañías de desarrollo web, clientes y usuarios en general, tened cuidado con vuestros gestores de contenido y actualizadlos, tanto los motores como los plugins... ¡o ateneos a las consecuencias!

Saludos!

Informe Flu - 238

January 31, 2016, 4:49 am

≫ Next: Curso de Auditoria y Hacking Web en modalidad Online

≪ Previous: Wordpress del pleistoceno vulnerables hasta a la gripe, ¿hasta cuando?

$

0

0

Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana:

Martes 25 de Enero

• El lunes os anunciamos la 3ª edición de Hackron que tendrá lugar los días 5 y 6 de Febrero

Miércoles 27 de Enero

• El pasado miércoles os anunciamos que el el 11 de Febrero participaremos en el XII Ciclo de Conferencias UPM-TASSI, con una interesante charla sobre malware en Android.

Viernes 29 de Enero

• El viernes publicamos el artículo Wordpress del pleistoceno vulnerables hasta a la gripe, ¿hasta cuando?, donde expusimos Sitios Web desactualizados desde hace más de 12 años, con infinidad de vulnerabilidades conocidas.

Saludos!

Curso de Auditoria y Hacking Web en modalidad Online

February 1, 2016, 7:26 am

≫ Next: Diccionarios de claves para ataques de fuerza bruta

≪ Previous: Informe Flu - 238

$

0

0

El próximo día 12 de Febrero dará comienzo el curso de Auditoria y Hacking Web en su modalidad Online, a través de la plataforma Webex. El profesor será Rafael Sánchez, persona que cuenta con más de 8 años de experiencia en el sector. El curso será de 8 horas y se realizará en 2 sesiones de 4 horas, una el viernes 12 de Febrero y la segunda el 19 de Febrero. Los asistentes recibirán un diploma de asistencia al curso que será expedido por la empresa Security Sentinel. El coste de la formación es de 160 €. Para obtener más información contacta con info@flu-project.com o info-online@thesecuritysentinel.es. 

El contenido del curso es el siguiente: 

Perspectiva y enfoque del atacante

Entender la perspectiva del atacante es clave para realizar pruebas de seguridad sobre aplicaciones web. En este apartado se analizará la visión de los distintos componentes y tecnologías de un servicio web desde la visión del atacante.

·  Análisis de componentes en lado de cliente y servidor.

·  Estudio de arquitectura de aplicaciones web.

·  Métodos de control de sesión

·  Definición de alcance de pruebas de seguridad.

Reconocimiento y fingerprinting

Análisis de los procedimientos y técnicas de reconocimiento y fingerprinting, incluyendo tanto recolección de información de fuentes públicas como caracterización de los sistemas objetivo.

·  Descubrimiento de aplicativos del servicio

·  Identificación de Sistema Operativo

·  Análisis de capa SSL

·  Identificación de configuraciones software

·  Técnicas OSINT

·  Spidering

Descubrimiento de vulnerabilidades

A partir la información recabada en la fase anterior, se estudiarán los distintos métodos disponibles para la detección de vulnerabilidades Web. Se empleará en todo momento un enfoque práctico y manual.

·  Análisis manual de vulnerabilidades

·  Proxy Web para interceptación de tráfico (ZAP, Burp)

·  Estudio práctico del TOP10 de OWASP (Command Injection, SQL Injection, XSS, CSRF, etc…)

·  Analizadores automáticos de vulnerabilidades.

Explotación de vulnerabilidades

En este módulo, se pondrá el foco en distintas técnicas disponibles para el aprovechamiento de vulnerabilidades discutidas en el apartado anterior simulando el comportamiento de un atacante.

·  Explotación de navegadores web.

·  Uso de máquinas comprometidas para pivotar a redes internas

·  BeEF

·  Explotación práctica de vulnerabilidades SQL Injection, XSS, CSRF, etc…

Nuestra formación en Hacking Web le permitirá aprender los aspectos clave en los procesos de hacking ético que permitan evaluar la seguridad de las aplicaciones y los servicios web publicados  en Internet.  Estas aplicaciones son susceptibles  de recibir ataques  por parte de usuarios con intenciones maliciosas. Este tipo de ataques pueden suponer pérdidas económicas para un organismo, así como afectar a la imagen corporativa hacia sus clientes. Las vulnerabilidades de las aplicaciones web pueden ser originadas por defectos en el diseño y/o en la implementación de las aplicaciones, y de las medidas de control de acceso, validación y saneamiento de los datos de entrada.

Por último os dejamos una descripción de Rafa:

Rafa es Analista de Seguridad TI con más de 8 años de experiencia en tareas de gestión y análisis en proyectos técnicos tales como Gestión y Análisis de Vulnerabilidades, Hacking Ético, Análisis de Amenazas de Internet, Planificación y Gestión de pruebas técnicas de Seguridad, etc. Certificado CISM y CISA y Grado en Ingeniería de Sistemas de Información. Actualmente responsable técnico de proyectos de Seguridad de Red dentro del Área GCTO de Telefónica. Además de uno de los que participan en la organización del congreso Navaja Negra celebrado en la ciudad de Albacete. 

Para obtener más información contacta con info@flu-project.com o info-online@thesecuritysentinel.es. 

Diccionarios de claves para ataques de fuerza bruta

February 4, 2016, 8:12 am

≫ Next: Analizando Android Proxy Trojan Xoryp

≪ Previous: Curso de Auditoria y Hacking Web en modalidad Online

$

0

0

Buenas a todos, en el post de hoy quería compartir con todos vosotros dos listados bastante completos con diccionarios de contraseñas para la realización de ataques de fuerza bruta, con sus correspondientes fuentes, para que podáis descargarlos y utilizarlos en vuestros Test de Intrusión. ¡Disfrutadlos!

FUENTE 1: http://www.outpost9.com/files/WordLists.html

norm&r.zip	Same as dictbig.zip + all entries reversed	644K Unzipped
oneup&r.zip	Same as norm&r.zip with first leter uppercase	644K Unzipped
allup&r.zip	Same as norm&r.zip except everything is uppercase	644K Unzipped
names.zip	Very large list of names	228K Unzipped
ASSurnames.zip	List of Sur Names	.7K zipped
Antworth.zip		249K zipped
Congress.zip	Congress Names & words	2K zipped
Dosref.zip	Dos Refrence words	2K zipped
Family-Names.zip	Family Names	46K zipped
Given-Names.zip	List of Given Names	23K zipped
Jargon.zip	List of words taken from the Jaron file	32K zipped
Unabr.dict.zip	Words from Unabridged dictionary	689K zipped
actor-givenname.zip	Actor's given names	25K zipped
actor-surname.zip	Actor Sur-Names	60K zipped
afr_dbf.zip		424K zipped
chinese.zip	Chinese words	1K zipped
cis-givennames.zip		28K zipped
cis-surname.zip		127K zipped
common-passwords.zip	List of most common passwords	2K zipped
crl-names.zip		144K zipped
dic-0294.zip	Really BIG Dictionary list!	3283K zipped
etc-hosts.zip	Host names	45K zipped
female-names.zip	List of female names	12K zipped
givennames-ol.zip		13K zipped
kjbible.zip	List of words and names from the King James Bible	37K zipped
language-list.zip	Language list	6K zipped
male-names.zip	List of male names	10K zipped
movi-characters.zip	List of movie character names	81K zipped
other-names.zip	Misc names	18K zipped
oz.zip	Yes OZ	6K zipped
d8.zip	Very very good all around word list. Covers a lot	750K Unzipped

FUENTE 2: http://muyseguridad.net/2011/02/28/diccionarios-de-contrasenas-para-ataques-de-fuerza-bruta/

Lugar	Web	Descripción	Formatos
1°	www.skullsecurity.org	En la web se pueden encontrar las 500 pass más usadas, amplia variedad de diccionarios (por idiomas, actores, porno, etc…), nombres sacados de facebook, también tiene una lista con la localización de archivos (linux, windows), extenciones de aplicaciones web (phpmyadmin, apache, phpbb etc…), sin duda es la web más completa que he visto para encontrar el diccionario específico que buscamos para fuerza bruta.	*.txt.bz2 *.txt
2°	www.insidepro.com	Trae consigo diccionarios por idiomas y algunos hecho por la web misma web (InsidePro), también trae el mítico diccionario de milw0rm.com y uno de hashkiller.com, además también trae un compacto con los nombres de Facebook. A mi personalmente me gusta mucho por que es muy ordenada y clara la web.	*.rar -> *.dic
3°	packetstormsecurity.org	Aquí se puede encontrar diccionarios de los que se les ocurra (asteriodes, rock, mitos y leyendas, cine, jazz, nombres, etc…). El único problemas es que tienes que buscarlos en una larga lista sin orden lógico.	*.txt *.txt.gz
4°	www.cotse.com (1)  www.cotse.com (2)	Una web que ofrece muchos tópicos: Contraseñas comunes, los términos de Drogas de la calle, nombres de host, las palabras de la Biblia King James, palabras en latín, Minix / usr / dict, nombres de películas, música clásica, música country, jazz, música de otros, la música rock, espectáculos musicales, mitos y leyendas , apellidos de actores, nombres de actor, apellidos anglosajones, entre muchos otros. Nada más un poco molesto el desorden.	*
5°	ftp.ox.ac.uk	Un Ftp que trae un amplia variedad de diccionarios por idiomas, algunos de literatura, movieTV, musica, nombres, etc…	*.Z *.gz
6°	ftp.openwall.com	Este es el conocido FTP de Openwall que trae un compacto de passwords y una amplia variedad de diccionarios por idiomas.	*.gz
7°	ftp.cerias.purdue.edu	FTP muy parecido a los 2 anteriores que trae consigo entre sus variedades: idiomas, literatura, movieTV, lugares, nombres, random, religión, computador, ciencia.	*.gz
8°	98.15.203.119	Este es un servidor que recopila muchos archivos referente al “hack”, y en su sección de wordlist se encuentra una recopilación extensa y variada de diccionarios para fuerza bruta, el único problema es que no te puedes descargar muchos a la vez, tienen muchos formatos y estan muy desordenados.	*.zip *.txt.gz *.dic *.txt *.gz *.rar *.zip *.Z
9°	ftp.zedz.net	FTP con variada cantidad de diccionarios (idiomas, actores, películas, nombres, etc…)	*
10°	contest.korelogic.com	Aquí se pueden encontar diccionarios con 2 letras de combinaciones, nombres de ciudades, equipos de football, nombres sacados de Facebook, palabras sacadas de la Wiki (según idioma), etc…	*.dic *.dic.gz *.txt
11°	www.leetupload.com	Este es otro servidor con recopilación de diccinarios.	*.zip *.rar *.txt
12°	ftp.funet.fi	FTP con diccionarios por idiomas.	*.Z *
13°	wordlist.sourceforge.net	Aquí hay una recopilación muy poco completa, pero útil igual.	*.tar.gz *.zip
14°	article7.org	Aquí se puede encontrar un puñado de diccionarios.	*txt *.zip
15°	www.nomorecrypto.com	Aquí se ofrece un torrent con un diccionario de 31 GB ni más ni menos.	*txt *.zip

---

Analizando Android Proxy Trojan Xoryp

February 5, 2016, 8:34 am

≫ Next: Informe Flu - 239

≪ Previous: Diccionarios de claves para ataques de fuerza bruta

$

0

0

Buenas a todos, en el post de hoy me gustaría hablaros del troyano Xoryp para Android, que desde 2013 lleva operando y que hasta hace algunos meses no ha empezado a ser detectado por la mayor parte de los fabricantes de antivirus.

La primera muestra fue subida a Virus Total el 9 de abril de 2013, momento en el cual era indetectable. Se trata de un caballo de troya clásico diseñado para sustraer datos de los smartphones con Android como mensajes, registro de llamadas, historial de navegación, ubicación GPS, SMS, Wi-Fi/3G, IMEI, cuentas del usuario, etc. Como veis es un troyano muy similar a Sandrorat/droidjack.  Como curiosidad, la información sustraída no la envía en tiempo real, sino que la almacena en un directorio en el que tenga permisos de escritura y la envía cada 30 minutos cuando la WiFi se encuentra activada, para evitar que sea detectado por un alto consumo de datos de Internet.

A continuación os compartimos los permisos solicitados por la aplicación. Como veis es fácil sospechar que se trata de un malware:

• android.permission.CHANGE_NETWORK_STATE (change network connectivity)
• android.permission.SEND_SMS (send SMS messages)
• android.permission.DISABLE_KEYGUARD (disable key lock)
• android.permission.READ_PHONE_STATE (read phone state and identity)
• android.permission.ACCESS_WIFI_STATE (view Wi-Fi status)
• android.permission.ACCESS_COARSE_LOCATION (coarse (network-based) location)
• android.permission.WAKE_LOCK (prevent phone from sleeping)
• android.permission.RECEIVE_SMS (receive SMS)
• android.permission.INTERNET (full Internet access)
• android.permission.ACCESS_NETWORK_STATE (view network status)
• android.permission.WRITE_EXTERNAL_STORAGE (modify/delete SD card contents)
• android.permission.READ_CONTACTS (read contact data)
• android.permission.GET_ACCOUNTS (discover known accounts)
• android.permission.READ_SMS (read SMS or MMS)

En el siguiente enlace podréis encontrar una muestra para analizar, alojada en Contagio Mobile:

DESCARGAR MUESTRA DEL MALWARE

Datos del APK:

• SHA256:00341bf1c048956223db2bc080bcf0e9fdf2b764780f85bca77d852010d0ec04
• File name:com.studio.proxy.apk

A continuación os dejamos el listado de antivirus que detectan el malware a día de hoy y que podéis ver en este informe de Virus Total: 

https://www.virustotal.com/en/file/00341bf1c048956223db2bc080bcf0e9fdf2b764780f85bca77d852010d0ec04/analysis/

Antivirus	Result	Update
AVG	Android/Deng.BGE	20151212
AVware	Trojan.AndroidOS.Generic.A	20151212
Ad-Aware	Android.Trojan.InfoStealer.FG	20151212
AegisLab	Agent	20151212
Alibaba	A.H.Pri.Dyndns	20151208
Antiy-AVL	Trojan[Spy:HEUR]/AndroidOS.Agent.af	20151212
Arcabit	Android.Trojan.InfoStealer.FG	20151212
Avast	Android:Agent-HTI [Trj]	20151212
Avira	ANDROID/Spy.Xoryp.1	20151212
Baidu-International	Trojan.AndroidOS.Agent.fs	20151212
BitDefender	Android.Trojan.InfoStealer.FG	20151212
CAT-QuickHeal	Android.InfoStealer.E	20151212
Comodo	UnclassifiedMalware	20151209
Cyren	AndroidOS/SProxySpy.A.gen!Eldorado	20151212
DrWeb	Android.Xoryp.1.origin	20151212
ESET-NOD32	Android/Spy.Xoryp.A	20151212
Emsisoft	Android.Trojan.InfoStealer.FG (B)	20151212
F-Secure	Android.Trojan.InfoStealer.FG	20151211
Fortinet	Android/SpySmart.A!tr.spy	20151212
GData	Android.Trojan.InfoStealer.FG	20151212
Ikarus	Trojan-Proxy.AndroidOS.SmartSpy	20151212
K7GW	Spyware ( 004be72c1 )	20151212
Kaspersky	HEUR:Trojan-Spy.AndroidOS.Agent.fs	20151212
McAfee	Artemis!D05D3F579295	20151212
MicroWorld-eScan	Android.Trojan.InfoStealer.FG	20151212
NANO-Antivirus	Trojan.Android.Xoryp.drlfsv	20151212
Tencent	Dos.Trojan-spy.Agent.Woft	20151212
VIPRE	Trojan.AndroidOS.Generic.A	20151212
Zillya	Trojan.Xoryp..1	20151211
Zoner	Trojan.AndroidOS.Agent.G	20151212
Agnitum		20151211
AhnLab-V3		20151211
Bkav		20151212
ByteHero		20151212
CMC		20151211
ClamAV		20151212
F-Prot		20151212
Jiangmin		20151211
K7AntiVirus		20151212
Malwarebytes		20151212
McAfee-GW-Edition		20151212
Microsoft		20151212
Panda		20151212
Qihoo-360		20151212
Rising		20151211
SUPERAntiSpyware		20151212
Symantec		20151211
TheHacker		20151211
TotalDefense		20151212
TrendMicro		20151212
TrendMicro-HouseCall		20151212
VBA32		20151211
ViRobot		20151212
nProtect		20151211

Hace unos meses fue publicado un interesante artículo sobre este malware en el blog de b0n1, el cual os recomiendo visitar si estáis interesados en este badware en particular:

http://b0n1.blogspot.com.es/2015/04/android-trojan-spy-goes-2-years.html

Saludos!

Informe Flu - 239

February 6, 2016, 3:01 pm

≫ Next: Eventos de ciberseguridad para esta semana - Semana cargadita

≪ Previous: Analizando Android Proxy Trojan Xoryp

$

0

0

Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana:

Lunes 1 de Febrero

• El lunes os presentamos el nuevo Curso de Auditoria y Hacking Web en modalidad Online de TSS

Miércoles 3 de Febrero

• El pasado miércoles compartimos con vosotros varios Diccionarios de claves para ataques de fuerza bruta, que podréis descargar de forma gratuita desde los links facilitados en el artículo.

Viernes 5 de Febrero

• El viernes publicamos el artículo "Analizando Android Proxy Trojan Xoryp", en el que hablamos de un caballo de troya que desde 2013 llevaba operando y que hasta hace algunos meses no había empezado a ser detectado por la mayor parte de los fabricantes de antivirus.

Finalmente comentaros que mañana os hablaremos de todos los eventos en los que tendremos oportunidad de participar Pablo y un servidor durante la semana que viene, como el URJC TechFest, las Jornadas TASSI y MorterueloCON. ¡Estad atentos!

Saludos!

Eventos de ciberseguridad para esta semana - Semana cargadita

February 8, 2016, 9:17 am

≫ Next: Usa correctamente tu gestor de contraseñas o exponla

≪ Previous: Informe Flu - 239

$

0

0

Buenas a todos, esta semana la tenemos cargada de eventos desde Flu Project :) y participaremos con varias conferencias en los congresos URJC TechFest y TASSI (UPM), relacionadas con el ámbito del hacking ético, el malware y el desarrollo de soluciones de ciberseguridad.

El lunes tengo el placer de volver a dar una charla con mi brother Pablo González  en el URJC TechFest, impartiendo una conferencia conjunta sobre metodologías de búsqueda OSINT a las 19:00h.

El martes, también en el URJC TechFest, Pablo dará la conferencia "El silencio de los backends"  junto a nuestro amigo Rafa a las 18:00h.

El miércoles, mi compañero Jesús Alcalde de KPMG, impartirá un interesante taller introductorio al desarrollo de soluciones de ciberseguridad con la tecnología Node.js a las 17:00h.

Y el mismo día, pero más tarde, a las 19:00h, impartiré un taller junto con mi compañero Álvaro García sobre análisis de malware en smartphones.

Además, el jueves, impartiré otro taller sobre seguridad en Android y análisis del malware, donde presentaré desde un punto de vista práctico las distintas tipologías de malware, técnicas utilizadas, medidas de evasión de sistemas antivirus y metodologías para afrontarlos.

• Para más información y registro al URJC TechFest: http://uacm.es/tech-fest/
• Para más información y registro a las Jornadas TASSI de la UPM: http://www.criptored.upm.es/descarga/TripticoTASSI2016.pdf

Os dejamos el video del 2014 cuando Pablo estuvo en el TASSI hablando de auditoria interna y cómo afrontarla:

 

Por último, el próximo viernes 12 de Febrero Pablo dará un taller de 16 a 20 en Morteruelo CON. Gracias a Rafa Otal por la invitación. El taller se llama "A mi me daban 2: Powershell y Metasploit (Mix)". El taller tendrá una carga de Powershell y pentesting a sistemas Windows que os gustará.  Promete horas de diversión...

¡Os esperamos!

Usa correctamente tu gestor de contraseñas o exponla

February 9, 2016, 9:27 am

≫ Next: Formación de Pentesting con Kali en Valencia - Taes

≪ Previous: Eventos de ciberseguridad para esta semana - Semana cargadita

$

0

0

Hace poco estuve analizando el gestor de contraseñas KeePass, en su versión para Windows. Imaginando la situación en la que un atacante compromete tu máquina y tiene acceso a los procesos que se ejecutan en la máquina, podríamos caer fácilmente en que el proceso KeePass se encuentra en ejecución. Este proceso puede llamar, y mucho, la atención de un atacante. Por esta razón decidí ver qué se podía rascar de la memoria RAM.

En primer lugar realicé sin más un volcado del proceso simulando previamente una intrusión con una Meterpreter. Tras tomar el control de la máquina y ejecutando un “ps” se puede obtener un listado de los procesos que se ejecutan en el equipo. Llama la atención varias, pero poniendo los ojos sobre el KeePass.exe se pueden hacer varias cosas. Lo primero es hablar del script process_memdump, con el que se puede conseguir un volcado del proceso y almacenarlo en un fichero. Metasploit almacena en el home del usuario la información obtenida. En este caso la ruta sería /root/.msf4/logs/scripts/process_memdump. 

Desde el punto de vista del usuario de KeePass podemos utilizarlo de diferentes formas. La forma más segura es la utilización de los atajos que el gestor proporciona:

•CTRL+B nos permite copiar el usuario.

•CTRL+C nos permite copiar la contraseña.

•CTRL+V permite copiar y pegar el usuario y contraseña en el formulario siempre y cuando tengamos a este como segunda ventana activa después del propio KeePasss.

El gestor proporciona unos segundos en el que la información queda almacenada antes de ser eliminada del portapapeles. Podemos considerar esto como un uso algo más seguro. Una de las cosas que los usuarios de KeePass suelen utilizar es el botón “de los puntos suspensivos”. Este botón permite al usuario visualizar la contraseña en plano, lo cual a priori puede suponer una acción sin más. 

En la imagen anterior se puede visualizar como la contraseña se ve en texto plano. Esto es gracias a que se pulsa el botón “de los tres puntos suspensivos”. En ese instante la contraseña se encuentra alojada en memoria, en texto plano y dentro del ámbito del proceso. Debido a esto, si realizamos un volcado de memoria del proceso en cuestión podremos tener acceso a la contraseña. Esto es debido a una mala práctica por parte del usuario. Además, la contraseña quedará en RAM por un tiempo indeterminado. 

Al realizar la siguiente búsqueda sobre el volcado del proceso empezamos a visualizar información de la entrada en el gestor. Podemos ver información como el nombre de usuario, la dirección URL dónde aplicar contraseña o el nombre de la entrada. La contraseña se encuentra oculta mediante “*”. Si el usuario no utiliza el botón “de los puntos suspensivos” no habrá leak o desprotección. Tras realizar algunas pruebas con ello, se puede llegar a esta conclusión. En el caso de que el usuario pulse dicho botón, el valor en plano de la contraseña se aloja en la RAM. Es cierto que no se almacena junto al resto de información, pero está dentro del proceso, tal y como puede visualizarse en la siguiente imagen.

Es cierto que la contraseña se muestra repetidas veces y que no hay una referencia por la que realizar la búsqueda, pero se encuentra. Si se lleva a cabo la prueba sin haber utilizado el botón de mostrar la contraseña, no se almacenaría la contraseña en plano. Ha sido una prueba curiosa. Ni mucho menos quiere decir que KeePass sea inseguro, es aconsejable utilizar un gestor de contraseñas como éste, pero un mal uso del gestor puede provocar una pequeña exposición en memoria RAM de información sensible. Lógicamente, para poder aprovecharse de esto se debe tener algún tipo de acceso, físico o remoto, como en el ejemplo se proponía.

Formación de Pentesting con Kali en Valencia - Taes

February 10, 2016, 9:53 am

≫ Next: X1RedMasSegura Especial RootedCon 2016

≪ Previous: Usa correctamente tu gestor de contraseñas o exponla

$

0

0

El próximo 20 de Febrero se impartirá el curso sobre Pentesting con Kali en el que los alumnos podrán descubrir las diferentes posibilidades que la distribución de Offensive Security proporciona. El curso se realizará en Valencia, en el centro de formación TAES en la calle Pasaje Ventura Feliu 10-12, Valencia. El profesor seré yo y hay muchas ganas de que el curso llegue. Se puede obtener toda la información en el ENLACE del curso. 

Objetivos: Los pentesters utilizan día a día herramientas que podemos encontrar en diversas distribuciones de seguridad, entre ellas Kali Linux. La conocidísima Backtrack dio paso a la nueva generación de la mano de Kali Linux. El alumno podrá disfrutar de las diferentes etapas del pentesting y de los distintos tipos de auditorías y entender y practicar con este conjunto de herramientas que ofrecen este tipo de distribuciones. Recopila información, analiza, explota software y aprende técnicas de post-explotación en el curso de la mano de Kali Linux. Trabaja con Metasploit Framework dentro de Kali Linux y saca el máximo provecho a tus auditorías.

Los asistentes podrán conseguir el libro de Pentesting con Kali 2.0 o el de Ethical Hacking. Os esperamos el próximo 20 de Febrero en TAES. Comida incluida en el precio del curso. Para más información rfuentes@taesformacion.es o al teléfono 963413537.