Juguetes Hacking

Hola a tod@s

En anteriores post estuvimos hablando sobre el Internet de las cosas y de los juguetes que disponemos para jugar. En el post de hoy hablaremos sobre una plataforma pionera en el desarrollo de dispositivos para tal fin.

Electric Imp es una plataforma para conectar prácticamente casi cualquier dispositivo a Internet, y es  solo el comienzo del Internet de las cosas. Electric Imp cuenta con hardware, software, sistema operativo, API’s y su propio servicio en la nube.

Electric Imp cuenta con una aparentemente tarjeta SD para poder llevar a cabo proyectos, pero esta no es una tarjeta SD común, en realidad se trata de una combinación de un microprocesador y un modulo WiFi.

Al igual que con Arduino, Raspberry Pi, etc. podríamos hacer una infinidad de proyectos de hardware que nunca antes nos hubiéramos imaginado. La diferencia es que el Imp está listo para ser conectado a Internet gracias a su modulo Wi-Fi. Pero, ¿Qué cosas se podrían conectar a Internet y para qué?, pues veamos algunos proyectos.

TempBug: un termómetro conectado a Internet

Solo es necesario un pequeño termómetro analógico, electric imp y algunos servicios web para conocer en tiempo real la temperatura de tu casa, oficina, escuela, etc. Con este proyecto podrás visualizar la información de temperatura, realizar graficos y recolectar para su análisis.

nextWave

Un microondas conectado a Internet el cual calienta con el tiempo exacto tu comida. Este fue desarrollado en un Hackathon por unos jóvenes ingenieros.

Lockitron

Este es un dispositivo que se puede conectar a las chapas de las puertas para habilitar o deshabilitar las cerraduras y tener un control de acceso a tu hogar.

Aros

Un aparato de aire acondicionado inteligente que se adapta a tí. El aparato aprendera de su presupuesto, localización, el horario y el uso para mantener automáticamente la temperatura perfecta y maximizar el ahorro para su hogar. Puede ser controlado desde cualquier lugar mediante la aplicación Wink en su dispositivo móvil.

Para más información sobre el proyecto visitad la web oficial.

No seáis malos. 

Python like a Newbie.- Metiendo la mano en lo Forense

Hace unas semanas que prometí meter las zarpas al ámbito forense y mezclarlo con Python. La ida es crear un script que, preservando el grado de volatilidad de los datos detallado en el RF 3227, me permita crear una lista con el hardware de la maquina, directorios concretos, un pantallazo del escritorio tal cual esté y ese tipo de cosas que pueden facilitarle el día a un Forense.

Bueno, ante de presentaros el script solo deciros que lo iré mejorando en este blog en futuras entradas y que no estará subido a GitHub hasta que no esté mucho mas completo y presentable. Pero, si que agradecería toda la colaboración posible ^^ 

Librerias que utilizadas: 

•  Platform:  (para saber detalles del sistema)
• https://docs.python.org/2/library/platform.html#module-platform 
•  os: (porque con os.walk podremos hacer un tree de directorios y guardarlos)
• https://docs.python.org/2/library/os.html
• PIL: (Gracias al modulo ImageGrab podremos tomar un pantallazo)
•  http://effbot.org/imagingbook/pil-index.htm 

Aquí tenéis el código por si lo queréis probar. (Of course, está en Python 2.7 ya que muchas librerías solo tiran en esta versión. Puede que me piense su potabilidad a la 3.X mas adelante. No lo descarto)

#!/usr/bin/env python
# -*- coding: utf-8 -*-

import time
import os
import platform
from PIL import ImageGrab


def guardar(algo, algomas = "<-- Info del sistema"):
     d3 = open('InformacionUtil.doc', 'a+')
     d4 = str(algo + algomas)
     d3.writelines(d4 + """

""")
     d3.close()

print "Analizando el sistema"
d0 =  platform.uname()
da =  str(d0)
guardar(da)
print "Datos guardados"
print ""
print "Indica las rutas y tipos de archivos que prefieres (empezar por c:/users y Tipo de archivo en blanco. Para guardar todos los directorios.)"
d1 = raw_input("Ruta: ")
d2 = raw_input("Tipo de archivo: ")
for root, dirs, files in os.walk(d1):
     for item in files:
         if item.endswith(d2):
             guardar(root,item)
print "Voy a tomar una captura de la pantalla, minimiza esta pantalla antes de 5 segundos."
time.sleep(5)
ImageGrab.grab().save("screen_capture.jpg", "JPEG")

Espero que os guste y eso,  espero vuestras opiniones ^^

Sed Buenos, sobretodo con lo tomar capturas de pantalla ;)

Internet de las cosas

Hola a to@s

La tecnología avanza a pasos agigantados y cada vez aparecen más palabras que tenemos que añadir a nuestro vocabulario. “Internet de las cosas” según cita wikipedia es un termino que se refiere a una red de objetos cotidianos interconectados.

Donde el cine hace tan sólo unas décadas nos exponía un mundo de ciencia ficción hoy día es una realidad. El internet de las cosas nos describe un futuro o mejor dicho ya una realidad donde el mundo esta interconectado y no sólo entre personas sino también entre dispositivos. 

Hoy en día tenemos smartphones, tablet, ordenadores portátiles, dispositivos multimedia, e incluso las propias televisiones que se conectan a Internet. A esto habría que añadir las videoconsolas, e incluso los coches. Sin embargo, eso no es nada en realidad si pensamos en la gran cantidad de cosas que hay en el mundo.

El Internet de las cosas va mucho más allá. Algunos ejemplos de cosas conectadas a la red que podrían considerarse como parte de ese Internet de las cosas serían los electrodomésticos que están conectados. Ya existen frigoríficos, hornos y lavadoras que pueden ser controladas desde un smartphone gracias a la conexión a Internet con la que cuentan. Ese es solo el primer paso de lo que está por llegar. Tanto a nivel doméstico como a nivel profesional, el Internet de las cosas podría cambiar el mundo tal y como lo conocemos hoy.

Hay más “cosas” u “objetos” que personas conectadas a Internet. Internet de las cosas también hace referencia a una red donde múltiples objetos están interconectados unos con otros e interactúan entre ellos sin la participación de humanos. Este tipo de comunicación dispositivo-dispositivo involucra una recolección de información, procesamiento y la toma de decisiones dependiendo de esta información.

Es importante recordar que casi cualquier objeto en el mundo genera información y la mayoría de esta información no es recolectada. Además no olvidemos de que todo puede ser medido: temperatura, luz, humedad, masa, velocidad, distancia, frecuencia, etc. Estos datos generan a su vez información y con esta información se puede generar conocimiento lo que crea mejor tecnología para mejorar nuestra calidad de vida.

Un problema de todo esto sería que si están en Internet, están expuestos a ser atacados como vimos en el post que escribí Hackeo tu casa inteligente o el post de Vicente Motos en el que nos ilustraba con la cantidad de dispositivos que tenemos en casa y estan en peligro de ser hackeados.

Con esto se abre otro abanico de posibilidades para los que nos dedicamos a este mundo de a seguridad, nuevos retos y nuevos sistemas a securizar.

No seáis malos.

Algunos scripts para análisis de aplicaciones Android

Os dejo un par de scripts en Python que pueden resultar de utilidad para el análisis de aplicaciones en Android. Para poder ejecutarlos necesitaréis tener instaladas y accesibles desde la variable de entorno PATH las siguientes herramientas:

• Python
• apktool
• dex2jar
• Android SDK (en particular el binario aapt que se incluye con el SDK)
• Instalación de Java que incluya la herramienta keytool

Extracción de información de un APK

Enlace a Github

El script nos creará un directorio de salida en el que incluirá:

- Una carpeta content con todos los recursos de la aplicación (imágenes, layouts, strings, arrays...), fichero AndroidManifest.xml y fichero con extensión JAR preparado para cargarlo en jd-gui:

- Un fichero con un reporte en el que incluye información sobre el certificado con el que ha sido firmada la aplicación además de todas las cadenas encontradas en el código SMALI extraído en base a las expresiones regulares definidas:

Además permite incluir nuevas expresiones regulares y cadenas a buscar de forma sencilla a través del diccionario regex_dict:

Script para la modificación de APKs

Enlace a Github

El script está basado en la información que se puede encontrar en la Wiki del proyecto dex2jar para la modificación de APKs y nos irá informando durante el proceso de los momentos en que podemos realizar las modificaciones:

1. Edición de código Jasmin de la aplicación
2. Edición de AndroidManifest.xml donde se definen permisos, actividades, receivers, providers...

Finalmente y como se veía en la captura, se informa del nombre del fichero APK modificado que ha sido generado permitiendo realizar una instalación rápida para su análisis.

Explota Heartbleed sin meterte en líos

Hola a tod@s

En el post de hoy vamos a explicar cómo explotar una de las vulnerabilidades más sonadas de la historia, Heartbleed.

¿Qué es Heartbleed?

Nos ponemos en antecedentes, la vulnerabilidad se dio a conocer el pasado 1 de abril por Mark J. Cox de OpenSSL y Neel Mehta del equipo de seguridad de Google. Grandes empresa se vieron o están afectadas al utilizar esta tecnología.

El error de Heartbleed es una vulnerabilidad grave en la Biblioteca popular de software criptográfico de OpenSSL. Esta vulnerabilidad muestra de forma aleatoria fragmentos de memoria del proceso de hasta 64Kb. 

¿Cómo saber si soy vulnerable?

Existe multitud de métodos para comprobar si somos vulnerables a esta grave vulnerabilidad. Tenemos donde elegir, un script para Nmap, test online, exploits publicados, extensiones para tu navegador y hasta un plugin para la foca.

Explotación

Para llevar a cabo la explotación, la he realizado obviamente en un entorno controlado, seamos buenos. Para ello he preparado un servidor vulnerable, en mi caso turnkey-wordpress-13.0 corriendo sobre una máquina virtual. En el otro lado, para realizar el ataque una máquina virtual con KALI.

Para la realización de la  explotación contamos con nuestro amigo Metasploit, realizamos una búsqueda para ver que tenemos en relación con Heartbleed.

Imagen 1: Búsqueda Exploit 

Ya tenemos el que vamos a utilizar, ahora veamos que opciones tenemos disponibles.

Imagen 2: Show Options

Por otro lado, vamos a levantar el servidor en la dirección 172.16.0.228 y procedemos al panel de administración para autenticarnos.

Imagen 3: Cpanel

Volvemos a nuestro terminal de Metasploit, en primer lugar indicamos que queremos el modo verbose con esto sacamos el máximo de información.

set verbose true

A continuación definimos el host remeto, en nuestro caso la 172.16.0.228.

set rhosts 172.16.0.228

Y por último lanzamos.

run

Imagen 4: Volcado de información

Si haces clic en la foto de arriba, podrás que Metasploit ha comunicado con el servidor y pudo sacar datos aleatorios de la memoria del servidor.

Lo importante aquí es que tira de datos aleatorios de la memoria. No hay ninguna garantía de que encontremos las credenciales de cuenta, datos de la cookie de sesión o datos críticos cada vez que ejecuta este. Pero el peligro está en el hecho de que podría exhibir datos sensibles.

Solución

• Si eres un usuario te recomendamos que cambies tus contraseñas.
• En caso de tener un servidor con OpenSSL, su versión debería ser la 1.0.1g o superior.

No seáis malos. 

III ZampaCON Sabado 14, 20:00h

Hola a todos.

Quería informaros de la nueva quedada que he organizado para que tomemos unos refrescos y cenemos bien todos juntos. Será este Sábado día 14 de Junio a partir de las 20.00h.

El sitio va a ser el mismo que en la segunda. en la cervecería Alba en Getafe.
Cervecería Alba a unos 15 minutos andando de la Renfe de Getafe Centro, linea C4.
C/ Ramón Rubial, 4, 28904 Getafe.

                                             

La "lista de confirmados:

-@TrinityMadrid

-@n0ipr0cs (dueño de este blog) +1

-@kontrol0

-@madrikeka

-@kioardetroya

-@CharlieSec

-@NN2ed_s4ur0n

-@pedri77

-@BabianoMarisa

-@Agux_

-@insonusvita
-@diegodonos

Y el que suscribe :D +1

Igual se me olvida alguien. Algunos están aún sin confirmar

Recordad que el evento es gratuito (solo hay que pagar lo que se consuma o coma) y puede asistir cualquier persona, sea o no del mundo de la informática.

Un Minuto sin 010101 con Sergio de los Santos

Hola a tod@s

Volvemos con las entrevistas con más salero y originales de la red, este auto piropo ha sido gratuito. Hoy tenemos el placer de presentar a Sergio de los Santos. Este profesional fue también agraciado como un servidor de nacer en tierras andaluzas. Sergio es autor del libro Máxima Seguridad en Windows y ha trabajado en la conocida Hispasec, actualmente trabaja en ElevenPaths. Después de la presentación os dejo con la entrevista. 

1º ¿Quién es Sergio?

Un tipo que se dedica a la seguridad de casualidad. Bastante torpe y lento, pero curioso y obstinado. Creo que mi nivel de “dar por entendido” algo, nunca está totalmente satisfecho. En cualquier caso  ya no tengo tiempo de nada, así que solo aspiro a que la profesión no se complique demasiado. Me dedico a la seguridad informática. Me gusta la seguridad que rodea Windows porque me resulta más sencillo. Malware,forenses, consultoría y auditoría técnica, bastionado, administración…Como  no sé hacer muchas cosas a bajo nivel, se me da bien llevar equipos con personas que tengan más conocimientos. Al parecer, dicen que tengo buenas ideas y una visión “simple” de los problemas. Durante los últimos trece años, he tenido la suerte de no solo  conocer, sino trabajar con mucha gente del gremio. 11Paths, Hispasec, Virustotal...

2º ¿Que sueles hacer cuando tienes tiempo libre?

Odio el fútbol, pero ahora tengo que jugar con mi niño. Afortunadamente no hay mucha diferencia entre lo que él llama "fútbol" y lo que sería jugar a la pelota libremente, con lo que me lo paso muy bien. Leo y cuido de mi huertecillo.

3º Si no hubieras sido informático, ¿A qué te hubieras dedicado?

A algo de letras. O algo relacionado con la economía.

4º El último libro que has leído.

El padrino, de Mario Puzo. Mejor que la película, que ya es decir.

5º Tu plato favorito.

No soy muy sofisticado. Cualquier pescado. Y cualquier alimento que venga directamente de la naturaleza, sin cocinar demasiado.

6º El último sueño raro que tuviste.

Que no había terminado la carrera y tenía una asignatura pendiente. Horrible. Además es recurrente.

7º ¿Qué música sueles escuchar?

Cualquiera que no esté sometida a la industria me suele gustar más. La que se haga más con las entrañas y menos con el talonario. No sé si encajan en la definición, pero ahora mismo tengo Arcade Fire y White Lies en el reproductor.

8º Lo último que piensas antes de dormirte.

Reflexiono un poco sobre qué me ha aportado el día. Pero si pienso algo extraño, no me duermo. Así que mente en blanco.

9º Lo primero que piensas cuando te levantas por la mañana.

Preparar el desayuno a los niños.

10º Lo primero que harías si fueras presidente.

Dimitir y quedarme en su equipo de trabajo. Hay mucha gente más preparada para dar la cara. Prefiero trabajar en segundo plano. Eso sí, le aconsejaría ser simplemente honesto. Con él mismo y con el resto. Después de eso, lucharía por la economía sostenible en todos los sentidos.

No seáis malos. 

Project Un1c0rn

Hola a to@s

Quiero presentar un proyecto muy interesante que me dio a conocer un compi del trabajo. Se trata de un servicio similar a Shodan, bautizado con el nombre de Project Un1c0rn. 

Al igual que sucedía en Shodan, si no tenéis aún claro que buscar el servicio te ofrece como sugerencia lo más buscado por los usuarios.

Lo más demandado por estos son etiquetas como, password, pass, phpsessid, openvpn, mysql, etc. Que gente más mala...

En el servicio también podemos encontrar desde bases de datos NoSQL como MongoDB hasta servidores vulnerables a Heartbleed.

Probemos con la búsqueda de servidores vulnerables a la reciente y critica vulnerabilidad. En la imagen siguiente podemos ver un servidor vulnerable a Heratbleed permitiendo leer partes de la memoria del proceso, como ya sabéis hasta 64kB.

Imagen 1: Servidor vulnerable a Heartbled

¿Podrá Un1c0rn superar el potencial de Shodan?

El servicio también está disponible para redes Tor. Para conocer más sobre este proyecto visitad la web del proyecto un1c0rn.

No seáis malos. 

Como protegerse ante el aluvión de Fake Apps

Hola a tod@s

Google Play Store está plagada de fakeapps, como ya nos ilustro Sergio de los Santos en el blog de Elevenpaths. Estas aplicaciones falsas comprometen la seguridad de los dispositivos móviles que carecen de software de seguridad.

Estos ciberdelincuentes se aprovechan del público general que no tienen un conocimiento avanzado en seguridad, por ello estos usuarios debe extremar la precaución a la hora de instalar aplicaciones en sus dispositivos y tener un buen antivirus instalado y actualizado..

Estas aplicaciones maliciosas roban datos personales o suscriben a servicios Premium, por ello es muy importante leerse bien los permisos de cada aplicación y un poco de sentido común, por ejemplo para que necesita una aplicación linterna tener acceso a los mensajes o llamadas realizas.

Sigue los siguientes consejos si no quieres ser estafado:

1. Huye siempre de versiones de aplicaciones de pago en formato free.
2. Futuras apps que estarán disponibles en Play Store pero aún no se han lanzado oficialmente y crean una que las imita para que clientes incautos la instalen creyéndose que es la verdadera.
3. Siempre que vayas a instalar una app en Android, observa el desarrollador y si es de confianza.
4. Siempre debes leer los permisos de la app antes de aceptar para instalarla.
5. Lee los comentarios de la gente, si un 90% de los usuarios hablan mal de una app por algo será.
6. Como comentamos anteriormente tened un antivirus para dispositivos móviles.

No seáis malos.