2014-12-29

WPHardening para el 2015

En estos últimos meses #WPHardening, esta herramienta creada con el fin de mejorar y fortificar las instalaciones de WordPress tomo mucha relevancia y de hecho, tuve el placer de presentarlo en A&D Security Conference y en otra jornada local de Seguridad Informática.


Para este 2015, tengo la intención de continuar mejorando la herramienta, tanto en las nuevas funcionalidades como así también en aplicar buenas y mejores prácticas de programación en Python.

#WPHardening es un proyecto totalmente libre, por esta razón me encantaría sumar más personas que colaboren con este proyecto, ya sea para realizar test, programar o documentar.

Finalmente, quería agradecer a toda la comunidad Hacker y las empresas que ayudaron y colaboraron para que  #WPHardening llegara a oídos de muchos como Chema Alonso, Claudio Caracciolo, Cristian Borghello, Maxi Soler, Matias Katz, Chino Ogawa, Jason Soto, ESET LA, ArchAssault y a toda la comunidad que siempre deja sus mensajes junto al HashTag #WPHardening

Para este 2015 voy a seguir trabajando en los tiempos libres para mejorar #WPHardening y estoy seguro que voy a estar publicando algunos proyectos más en los que estoy trabajando.

Saludos!

2014-12-24

Feliz Navidad 2014!

Ya estamos nuevamente de festejos, y les voy a dejar mis saludos a todos los lectores de este blog, agradecerles por su compañía, sus comentarios, sus Likes, RT y +1

Que para estas fiestas, todos logremos estar en armonía, acompañando a lo más importante que nos rodea, que es la familia!

Un fuerte abrazo a la distancia para todos, Happy Hacking



y Feliz Navidad!!!

2014-12-15

CiberSeguridad: Mito o Realidad? por @holesec

Esta es una de las últimas presentaciones en Uruguay para el evento MOVE 2014 del sr Claudio Caracciolo, a quién tube el placer de conocer personalmente hace algunos días.

Como Claudio nos tiene acostubrado, una presentación cargada de información, recomendaciones, Mitos y Realidades en el mundo de la CiberSeguridad.

Desde la distancia, le mando un gran abrazo a @holesec y a disfrutar de esta conferencia!


Saludos!

2014-12-11

Asegurando una implementación de WordPress con JTS y WPHardening

Voy a aprovechar esta entrada en el blog, para agradecer a Jason Soto @JsiTech ya que grabó un hangout mostrando a fondo como utilizar e implementar WPHardening, además ejecuta JackTheStripper de nuestra amiga Augenia Bahit y utiliza como sistema de doble autenticación con el servicio de Latch.

Realmente excelente las presentaciones de todos y cada uno de las aplicaciones utilizadas.


Saludos!

2014-12-10

Andrés Riancho en PyCon Ar 2014

Excelente conferencia de Andrés Riancho @w3af comentando sobre algunos Quick-Wins de Seguridad para el Framework web Django en el evento PyConAr 2014

Muy interesante para aprender y aplicar buenas prácticas de seguridad.


Saludos!

2014-12-02

WPHardening 1.4

Luego de vivir una fantástica jornada de seguridad con la que fue Andsec Security Conference 2014 presenté una nueva versión de WPHardening incorporando nuevas y mejores funcionalidades para la herramienta.


Entre las mejoras publicada para la versión 1.4 el 29 de Noviembre del 2014 podemos encontrar:

  • Controles para el user-agent libwww-data
  • Optimización del código fuente
  • Nuevo valores por defecto en la opción --wp-config
  • Control en los Query String Exploit
  • Validación en el ingreso de datos
  • Ocultación de diferentes errores
  • Se agrega un nuevo filtro en login_error que oculta los problemas de autenticación
  • Nuevo parámetro MEMORY_LIMIT en la opcion --wp-config
  • Muestra información de las librería TimThumb
  • Corrige un fallo de Full Path Disclosure
  • Elimina los Theme que no se utilizan
  • Se creo la opción --load-conf para cargar una configuración previa y no escribir todos los parámetros.


Recuerden descargarse el código fuente desde GitHub de la siguiente manera:

$ git clone https://github.com/elcodigok/wphardening.git

Luego pueden ejecutar:

$ ./wphardening.py -h
Usage: wphardening.py [options] arg

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -v, --verbose         Active verbose mode output results
  --update              Check for WPHardening latest stable version

  Target:
    This option must be specified to modify the package WordPress.

    -d DIRECTORY, --dir=DIRECTORY
                        **REQUIRED** - Working Directory.
    --load-conf=FILE    Load file configuration.

  Hardening:
    Different tools to hardening WordPress.

    -c, --chmod         Chmod 755 in directory and 644 in files.
    -r, --remove        Remove files and directory.
    -b, --robots        Create file robots.txt
    -f, --fingerprinting
                        Deleted fingerprinting WordPress.
    -t, --timthumb      Find the library TimThumb.
    --wp-config         Wizard generated wp-config.php
    --delete-version    Deleted version WordPress.
    --plugins           Download Plugins Security.
    --proxy=PROXY       Use a HTTP proxy to connect to the target url for
                        --plugins and --wp-config.
    --indexes           It allows you to display the contents of directories.
    --malware-scan      Malware Scan in WordPress project.

  Miscellaneous:
    -o FILE, --output=FILE
                        Write log report to FILE.log

Me ayudan con un Like, +1 o un Tweet a difundir este proyecto y que pueda llegar a todos los usuarios de WordPress? Muchas gracias.

Saludos!

2014-11-26

Andsec Security Conference 2014


Este Sábado 29 de Noviembre, bajan a la tierra por tercera vez los ángeles y demonios para la nueva edición de Andsec Security Conference 2014 – Buenos Aires, Argentina.

La entrada es totalmente libre y gratuita y se va a realizar en la Escuela Davinci, ubicada en Av. Corrientes 2037, Buenos Aires – Argentina.

Gracias a la invitación de los organizadores, Matias Katz, Maxi Soler y Chino Ogawa, este año voy a estar compartiendo toda la experiencia de haber creado WPHardening y explicando algunos aspectos de seguridad en WordPress.

El cronograma para la jornada es el siguiente:

09:00 Registration
09:45 Welcome
10:00 Joan Cwaik: Hackeando las estructuras
10:20 Facundo de la Cruz: ./a.out
11:00 Break
11:20 Daniel Maldonado: WP Hardening Tool
12:00 Osiris Gomez: Análisis de logs usando Orgmode Convertir un pcap a un grafo
12:30 Lunch
14:00 Matias Katz: Backdooring X11 with class
14:30 Alejandro Pernin: Nobody Killed The Radio Star
15:10 Break
15:30 Mateo Martinez: Huellas en la memoria para analisis de malware
16:10 Claudio Caracciolo: Vamos mal contra la Ingeniería Social
16:50 Break
17:10 Julian Zarate: HTTP Break-header on GSM Networks
17:50 Diego Gutierrez & Alexis Sarghel: Hacking Android Tv
18:30 Closing
19:30 Fin Andsec

Classroom A
14:00 - 14:30 Carlos Pantelides: Workshop - Juegos de Seguridad
14:30 - 15:10 Claudio Caracciolo: Workshop - Configurando Latch
15:30 - 16:10 Alejandro Pernin: Workshop - Radio fun

Classroom B
All Day Open Talks

Además vas a encontrar otras actividades y desafíos, por otro lado no dejen de reservar su remera de las conferencias y su lugar para el After Party donde vamos a estar charlando un buen rato.

No dejen de ir a la tercer edición de Andsec y compartir información.

Saludos!

Enlace | Andsec Security Conference

2014-11-25

Jornada de Seguridad Informática 2014 - UNJu

Muchas gracias a la comisión organizadora de las Jornadas de Seguridad Informática 2014 en la Universidad Nacional de Jujuy por la invitación para dar un Taller de Seguridad en WordPress este Viernes 28 de Noviembre.

El evento se va a realizar el Viernes 28 de 09:00hs a 13:00hs y el Sábado 29 de 10:00hs a 13:00hs y 15:00hs a 18:00hs en las instalaciones de la Facultad de Ingeniería de la Universidad Nacional de Jujuy – Argentina.

El cronograma es el siguiente.


Los espero a todos para vivir una excelente jornada de seguridad.

Saludos!

2014-11-21

Actualización de Seguridad WordPress 4.0.1


Ya se encuentra disponible para su descarga una nueva actualización del CMS WordPress para la nueva rama 4.0.1 junto a la corrección de importantes fallos de seguridad.

Esta nueva versión corrige 23 bugs de la versión 4.0 y algunas mejoras como la validación EXIF de las imágenes subidas.

En tanto que a los problemas de seguridad se reportaron y corrigieron tres XSS que podrían comprometer seriamente una instancia de WordPress provocando engaño al usuario, cambio de contraseña y Denegación de Servicio.

Por esta razón, lo más recomendable es actualizar el Core de WordPress para esta nueva versión, de esa forma mitigar de forma activa cualquier posible problema.

Por otro lado quería mencionar que WPHardening 1.3 es totalmente compatible con esta nueva versión de WordPress, así que es posible utilizarlo para acotar y realizar el hardening de su sistema.

Saludos!

Enlace | WordPress 4.0.1 Security Release

2014-11-12

Google Hacking: Fuga de información en archivos accounts.xml

Muchos servicios, generalmente de mensajería o incluso sistemas, almacenan los perfiles de usuarios con toda su información asociada en archivos con formatos XML y en muchas ocasiones con el nombre accounts.xml que por alguna razón terminan indexados en Google, GitHub o algún motor de búsqueda donde es posible acceder y verlos.

En muchos casos además de encontrar información de las cuentas publicadas vamos a poder encontrar una bonita etiqueta password, teléfonos, dominios, ip o prácticamente lo que se nos ocurra.

filetype:xml inurl:"/accounts.xml" "<password>"


Esa es una cadena de búsqueda, sin embargo podemos mejorar para verificar que nuestros dominios no se encuentren comprometido revelando información.

Hoy esta muy latente los términos como fuga de información y es por ello que tenemos que estar atento en nuestros lugares de trabajos y en la vida digital en general de no publicar este tipo de información.

Saludos!

2014-10-25

Ya se encuentra disponible Symfony 2.3.21 y Symfony 2.5.6


Volviendo un poco a seguir de serca este framework que realmente me gusta mucho, ya se encuentra disponible una nueva actualización de Symfony2 para sus ramas 2.3.x y 2.5.x entre las cuales se contempla la corrección de varios fallos.


Symfony 2.3.21released

  • bug #11696 [Form] Fix #11694 - Enforce options value type check in some form types (kix)
  • bug #12209 [FrameworkBundle] Fixed ide links (hason)
  • bug #12208 Add missing argument (WouterJ)
  • bug #12197 [TwigBundle] do not pass a template reference to twig (Tobion)
  • bug #12196 [TwigBundle] show correct fallback exception template in debug mode (Tobion)
  • bug #12187 [CssSelector] don't raise warnings when exception is thrown (xabbuh)
  • bug #11998 [Intl] Integrated ICU data into Intl component #2 (webmozart)
  • bug #11920 [Intl] Integrated ICU data into Intl component #1 (webmozart)


Symfony 2.5.6released

  • bug #11696 [Form] Fix #11694 - Enforce options value type check in some form types (kix)
  • bug #12225 [SecurityBundle] Add trust_resolver variable into expression (zulus)
  • bug #12209 [FrameworkBundle] Fixed ide links (hason)
  • bug #12208 Add missing argument (WouterJ)
  • bug #12197 [TwigBundle] do not pass a template reference to twig (Tobion)
  • bug #12196 [TwigBundle] show correct fallback exception template in debug mode (Tobion)
  • bug #12187 [CssSelector] don't raise warnings when exception is thrown (xabbuh)
  • bug #12151 [Framework][DX] Set the proper validator class according to the configured api version (peterrehm)
  • bug #12128 [Console] clean handling of :: passed to find() (xabbuh)
  • bug #11998 [Intl] Integrated ICU data into Intl component #2 (webmozart)
  • bug #11920 [Intl] Integrated ICU data into Intl component #1 (webmozart)


No se olviden de actualizar sus proyectos gracias a la ayuda de Composer dentro de Symfony2 de la siguiente manera:

$ php composer.phar update


Saludos!

2014-10-14

RiseCON 2014

El 6 y 7 de Noviembre del 2014 Rosario se transforma en el lugar de encuentro de varios Hackers de Argentina.


RiseCON · Rosario Information Security Conference · es el primer y mayor evento de seguridad informática y hacking realizado en la ciudad de Rosario, con nivel y trascendencia internacional.

Los asistentes podrán concurrir a presentaciones de gran nivel, impartidas por reconocidos hackers y profesionales de la seguridad informática de Argentina y del exterior. Además tendrán la posibilidad de participar en trainings y workshops, dictados a lo largo de la primera jornada de la conferencia.

Durante la conferencia se abordarán temas tales como WebApp Security, Ethical Hacking, Mobile Security, Bitcoin, Hacking WiFi, Cloud, Privacy, Malware Analysis, Forencsis, entre otros.

El evento se realizará en Plataforma Lavardén, un espacio tradicional de la ciudad de Rosario, cuna de grandes eventos culturales.

Charlas


HACKING WALL STREET (Juan Braña · Alexis Sarghel)

Desde 2009 un 50-70% de las transacciones bursátiles de EEUU se realizan a través de algoritmos matemáticos y computacionales sin supervisión humana. Esta charla brindará una introducción al Trading Algorítmico y de Alta Frecuencia, su situación en Argentina y el mundo. Se mostrarán ataques y metodologías para explotar esta tecnología, y una introducción al protocolo FIX y sus posibles vulnerabilidades.

MOBILE APPS AND HOW TO PENTEST THEM (Gustavo Sorondo)

A diario las personas utilizan aplicaciones en sus dispositivos móviles para acceder a información o almacenarla. La charla explicará las tareas involucradas en un proyecto de testing de una Aplicación Mobile (Android), desde la lógica de la aplicación a reversear el código y modificarlo.

HACKERS UNIVERSITY (Federico Pacheco)

La palabra "hacker" se utiliza en diversos contextos, representando algo que muchos no saben bien qué significa. Los medios de comunicación colaboran fuertemente con la desinformación.
En esta charla analizaremos cómo se convierte alguien en hacker, si es que tal cosa es posible, y cómo se vincula la educación con la seguridad informática.

AVENTURAS Y DESVENTURAS EN INVESTIGACIÓN DE DELITOS INFORMÁTICOS (Ezequiel Sallis · Federico Marchetti)

Panorama de los desafíos que un investigador afronta a la hora de realizar su trabajo, no solo desde los aspectos técnicos, sino también desde un plano jurídico y procesal.
A cargo de expertos del Área de Cibercrimen de la Policía Metropolitana de Ciudad Autónoma de Buenos Aires.

PROYECTO ODILA (Marcelo Temperini · Maxi Macedo)

ODILA (Observatorio Latinoamericano de Delitos Informáticos) es un proyecto que busca construir un espacio de investigación y trabajo en materia de delitos informáticos, relevando y recolectando información sobre casos ocurridos en Latinoamérica, con el fin de generar, sistematizar y difundir información sobre la realidad de esta problemática.

CERTIFICATE PINNING: ¿TENEMOS EL C...ERTIFICADO ROTO? (Cristian Borghello)

Se analizarán las diferentes aproximaciones existentes para validar la cadena de certificación de un sitio web "seguro" y cómo terceros nos pueden romper el c...ertificado para espiarnos.

UN EXPLOIT PARA MOBILE SAFARI (Felipe Manzano)

Se presentará un exploit para Mobile Safari en iOS 7.1.2. Mediante el encadenamiento de dos vulnerabilidades permite detectar el target al vuelo, elegir un payload acorde y bypassear ASLR, DEP y Code Signing. Funciona en 7.1.2 para abajo en iDevices de 32 bits.

DO YOU KNOW WHO'S WATCHING YOU?: AN IN-DEPTH EXAMINATION OF IP CAMERAS ATTACK SURFACE (Nahuel Riva · Francisco Falcón)

Expertos expondrán los resultados de una investigación en la que se detectaron y explotaron numerosas vulnerabilidades en 28 modelos diferentes de cámaras IP de vigilancia.

2014-10-07

The Original Hacker Nº 9, una edición «muy Zen»

Que bueno es volver a estar organizado y tener unos minutos para dejarles algunas líneas y compartir algunos enlaces, pero en primer lugar quería agradecerles a todos y cada uno de los usuarios que estan dejando su voto en los Premios Bitacoras 2014, ya que en la primer clasificación parcial estamos en la posición 15 junto a otros excelente blogs de seguridad.

Y ahora si, les dejo el enlace de la novena edición The Original Hacker para leerla y aprender varias cosas interesantes.


El artículo estrella de la edición Nº 9 de The Original Hacker, es el que mejor representa al verdadero espíritu de la palabra Hacker. Se trata de «Las 12 reglas del aprendiz de Hacker», una guía para no solo convertirse en un buen estudiante de sistemas, sino también, para aprender a emplear la inteligencia estratégica en beneficio de la propia sabiduría. Un artículo que bien aprovechado podría convertirse en el futuro «Zen del Hacker».

Con la llegada de la última versión LTS de Ubuntu, la 14.04, comenzaron los problemas con Apache. La mayoría, generados por una política poco acercada por parte de Canonical, que en el afán por hacer un sistema «apto para usuarios poco ávidos» terminaron excediéndose, llegando a establecer configuraciones por defecto en binarios destinados a programadores, como el caso del paquete apache2 disponible en los repositorios. Sin embargo, en medio del caótico resultado, uno de ellos, resulta ser un bug que Apache se niega a reconocer como tal. En esta entrega, la «explicación del bug #56883 de Apache y la forma de solventarlo» hasta tanto los desarrolladores se animen a revisarlo.

Para retomar con «cosas raras» un artículo que parece salido del cajón de los recuerdos ¿alguien se acuerda de las TUI, las Text User Interfaces? Para los amantes del scripting, una «guía de desarrollo con dialog, la herramienta principal para creación de TUI con GNU Bash» y su disponibilidad en otros lenguajes como Python.

Finamente, se hace honor al verdadero hacking avanzando sobre uno de los temas más controvertidos y que mayor cantidad de discusiones genera en el mundo del desarrollo de aplicaciones Web: la «ingeniería de Web Software con Python y ¡Sin Frameworks!» En esta oportunidad, desmitificando otro de los tantos mitos que corren sobre el terreno de las aplicaciones Web: «el manejo de sesiones». En este artículo queda demostrado como con un simple «pip» y unas pocas líneas de código, el manejo de sesiones en Python NO requiere de frameworks para aportar seguridad, confianza y un desarrollo sustentable a la aplicación.

Perderse esta edición, podría ser peligroso para la salud. ¡Disfrútenla!

Saludos!

Enlace | The Original Hacker N° 9

2014-09-25

Premios Bitacoras 2014

Ya se encuentra disponible la votación para esta nueva edición de los Premios Bitacoras 2014, uno de los reconocimiento a los blogs más importante.

Como desde hace un par de años Cacería de Spammers se presenta en la categoría de Mejor Blog de Seguridad Informática. Si nos seguis te invito a que nos dejes tu voto de confianza y además alientes a otros blog de seguridad.

Votar en los Premios Bitacoras.com

En la edición 2013 quedamos en la posición Nº 33 con una excelente campaña, buscando la forma de seguir escalando y acompañar a otros bloggers reconocidos como Chema Alonso, Security by Default, Flu-Project, 1GB de Información, El Blog de Angelucho, Hacktimes v2.0, Hackerplayers, Seguridad informática “a lo jabali...”, Inseguros, etc.

Tenés hasta el 14 de Noviembre de este año para dejar tus votos y apoyar a los blogs que seguis a diario.

Saludos!

2014-09-15

Emprendedor Tecnológico y Cooperativo 2014

Muchas gracias a los chicos de la cooperativa de Trabajo Tecnomati.co por la invitación para esta nueva edisión del evento “Emprendedor Tecnológico y Cooperativo 2014

La Cooperativa de Trabajo Tecnomática Ltda. (tecnomati.co) te invita a participar de la 2da Edición del "Emprendedor Tecnológico y Cooperativo 2014" con charlas sobre nuevas tecnologías, Emprendedorismo, Tecnología 4G, Teletrabajo, Comercio Electrónico, Economía Social y Software Libre.

La fecha es la siguiente: Miercoles 17 de Septiembre, de 09:30 hs a 12:30 hs y de 15:30 hs a 19:00 hs - Centro Cultural Hector Tizón, Hipolito Irigoyen 1302.


La jornada tiene como objetivo presentar tecnologías libres para emprendedores del medio digital y promover la soberanía tecnológica y la filosofía cooperativa como una nueva forma organizacional.

En la misma realizaremos sorteos del "KIT DEL EMPRENDEDOR" que consiste en:
Alojamiento Web Anual.
Curso de Capacitación en algunas de las temáticas a elección.
Promoción de tu emprendimiento en nuestro Sitio Web

Esta jornada es "GRATUITA" y está destinada a estudiantes de carreras afines a la Informática, emprendedores y al público en general.

Inscripciones en: http://cursos.tecnomati.co/

Los esperamos.

2014-09-10

Como eliminar la versión de WordPress con #WPHardening


Uno de los principales puntos de exposición que tienen todos los proyectos creados en WordPress es que generalmente la versión con la que estas trabajando es de acceso público. Ese pequeño dato es suficiente para poder armar una línea de ataque en caso que este usando alguna versión antigua, desatendida o con fallos conocidos.

Para poder eliminar definitivamente la exposición de la versión podemos utilizar WPHardening de la siguiente manera:

$ ./wphardening.py -d /path/completo/wordpress --delete-version -r -v

Como siempre, en el parámetro -d indicamos el PATH absoluto o relativo en donde tengamos algún proyecto de WordPress, llamamos al flag --delete-version para realizar algunas modificaciones dentro del core de WordPress y finalmente podemos utilizar -r para eliminar archivos innecesarios que generalmente revelan la versión como es el caso de readme.html. El parámetro -v es simplemente para activar el modo verbose.

Al resultado de esto, lo subimos FTP/SFTP al servidor de producción con la tranquilidad que dejamos de exponer nuestra versión para futuros ataques basado en fallos conocidos que usualmente se captura con WPScan o Plecost.

Saludos!

2014-09-06

#RadioHack 04/09/2014

Figura 1: RadioHack

Ya se encuentra disponible un episodio más de #RadioHack emitido el días Jueves 04/09/2014 junto a Matias Katz, Cristian Amicelli y el Chino Ogawa, con una entrevista muy particular a Daniel Monastersky @identidadrobada

En este episodio van a estar comentando sobre Hackeo a la cuenta de iCloud de famosas, vulnerabilidad de logout remoto en Facebook.


Saludos!

2014-09-04

Tu pareja te engaña, te envio pruebas... #SPAM

Lamento que te enteres por este medio pero tu pareja te engaña.

Hace tiempo estoy saliendo con alguien y me engaño diciendo que no tenia compromiso con nadie y hace poco me entero que es tu pareja te adjunto unas fotos para que sepas como te engañan y se rien de ti.

Pronto te enviare mas.

Figura 1: Tu pareja te engaña, te envío pruebas.

Este bonito #SPAM me llegó junto a un archivo adjunto donde muestra como habilitar macros en Excel para poder “ver bien” las pruebas.

Un simple engaño que pone a prueba la confianza con su pareja!

Por favor te pido que no descargues nada, es parte del negocio de SPAM y posiblemente del MALWARE, simplemente cumplo con difundir y recomendarte que no confíes en aquellos correos que llegan desde cuentas desconocidas.

Saludos!

2014-09-03

Funciones Hash

Podemos difinir como función hash a un algoritmo que permite generar resúmenes que representen de manera casi unívoca a un archivo o dato. Cambien se le da el nombre de hash o digest al resultado de esa función. Estas funciones identifican probabilísticamente a un conjunto de información, dando como resultado un conjunto imagen de tamaño fijo, generalmente menor.

Figura 1: Función Hash

Su propiedad fundamental es que so dos resultados de una misma función son diferentes, las entradas que generaron esos resultados también lo son. No obstante, al ser mucho menor el rango posible de clave que el rango posible de objetos, pueden existir claves resultantes iguales para objetos diferentes, hecho conocido como colisiones.

Un ejemplo es MD5, desarrollado por Ron Rivest en 1992 y basado en sus predecesores MD4 y MD2 a los que se les realizaron mejoras, dando lugar a un algoritmo más seguro, pero más lento. 

Los resúmenes resultantes son de 128bits. Desde el 2005 ha quedado obsoleto debido a que los estudiantes Xiaoyunm Dengguo Feng, Xuejia Lai y Hongbo Yu de la Shandong University (china) anunciaron el descubrimiento de colisiones de hash para esta función. Si bien en ese momento el ataque solo fue teórico y con un cluster armado para tan fin, más tarde se pudo llevar a cabo en forma práctica. Aún así, sigue siendo un algoritmo interesante debido a su sencillez y generalidad.

Otro de los más utilizados es SHA, cuya versión más utilizada y actual estándar es SHA-1, desarrollada en 1994. La familia de SHA fue desarrollada por la NSA y actualmente existen cuatro variantes denominadas SHA-2 (SHA-224, SHA-256, SHA-384 y SHA-512). SHA-1 es similar en funcionamiento a MD5 pero genera un resumen de 160bits.

2014-09-01

Mejorando #WPHardening

Luego de publicar WPHardening v1.3 la verdad es que trajo muy buenas críticas entre los pares y una buena sensación de todo el trabajo que vengo realizando.


Es por ello que aprovecho esta oportunidad para agradecer a Cristian Borghello de SeguInfo, Maxi Sole de ToolsWatch, los chicos de #RadioHack y todos los que me están ayudando en la difusión del proyecto y los animo a que colaboren o compartan sus configuraciones de seguridad, recomienden sus plugins, reporten fallos, nuevas funcionalidades para poder seguir creando y creciendo con WPHardening.

Voy a seguir investigando e intentando aplicar nuevas formas de mejorar el código fuente de WPHardening, soy consciente que hay mucho por hacer y sin duda es una gran oportunidad de seguir aprendiendo como investigador, como programador y entusiasta.

Mientras tanto enterate que es lo que se viene la para versión v1.4 y recordá que vos también podes agregar tus mejoras y reportarlas en:

https://github.com/elcodigok/wphardening/issues

Muchas gracias a todos por la difusión del proyecto, tengo entendido que se encuentra en etapa de evaluación para agregarlo a algunas distribuciones GNU/Linux y estas son cosas que me ponen muy feliz y quería compartirlo con ustedes.

Saludos!

2014-08-28

Google Hacking: Signos vitales de phpSysInfo

Hace ya un tiempo que no publico un Hack de Google, y justamente recién probando algunos paneles para administrar WebHosting me encontré con un sistema que desconocía completamente llamado phpSysInfo.

phpSysInfo es una herramienta que genera una página web con información del sistema donde se ejecuta. Recopila esta información accediendo al /proc del sistema.

Hasta lo que leí, es un sistema que ya está implementado desde hace varios años y realmente me parece una herramienta bastante buena, aunque en lo personal me gusta más utilizar SNMP y quizás mantener un entorno un poco más controlado y no exponer tanta información.

Entonces nos vamos a Google y buscamos:

inurl:phpSysInfo/ "created by phpsysinfo"


Más de 4.500 servidores tiene implementado phpSysInfo y muchos de ellos de acceso público donde refleja información de su Sistema Operativo, Discos, Dispositivos conectados al servidor, Memoria y el uso de la red.

Nuevamente, mi recomendación es revisar las configuraciones, verificar y securizar todos los servicios que exponen información sensible.

Saludos!

2014-08-26

PyDay Luján . Jornadas de Programación en Python

Desde hace un tiempo soy un activista y programador de Python, es por ello que vario de los proyectos que desarrollo están bajo este fantástico lenguaje.

Es por ello que este 20 de Septiembre de 2014 en la Universidad Nacional de Luján – Argentina se va a desarrollar el PyDay Luján, un día a puro Python con charlas y talleres en un solo lugar.


Cronograma


  • "Introducción a Python" por Franco Mariluis 12:00 Hs. - 13:00 Hs.
  • "Introducción a Django" por Juan Pedro Fisanotti 13:00 Hs. - 14:00 Hs.
  • "Mi deliciosa API" por Emilio Ramirez 13:00 Hs. - 14:00 Hs.
  • "Desarrollo de videojuegos con pilas-engine" por Hugo Ruscitti 15:00 Hs. - 16:00 Hs.
  • "Django Organico" por Patricio Del Boca 15:00 Hs. - 16:00 Hs.
  • "Como los logs me salvaron el alma" por Facundo Batista 16:00 Hs. - 17:00 Hs.
  • "Ay! esta grasa no se quita" por Emilio Ramirez 16:00 Hs. - 17:00 Hs.
  • "Proyecto Jupyter" por Damian Avila 17:00 Hs. - 18:00 Hs.
  • "Evitando lesiones autoinfligidas usando rrule" por German Bourdin 17:00 Hs. - 18:00 Hs.
  • "Prediciendo el mundial con inteligencia artificial" por Juan Pedro Fisanotti 18:00 Hs. - 19:00 Hs.
  • "Aplicaciones e interfaces prácticas con PySide" por Leandro Poblet 18:00 Hs. - 19:00 Hs.
  • "Python Funcional" por Ezequiel Alvarez 12:00 Hs. - 13:00 Hs.

La entrada es totalmente Libre y Gratuita, si es necesario inscribirte previamente desde el siguiente enlace.

Es por ello que si estas decidido a aprender un excelente lenguaje de programación a todo terreno no dejes de asistir a este tipo de jornadas.

Saludos!

Enlace | PyDay Luján

2014-08-25

Como verificar un proyecto en WordPress con WPHardening

WPHardening es una herramienta que desde hace mucho tiempo estoy desarrollando en el lenguaje de Python y bajo una licencia Libre para la consola de comandos.


WPHardening no tiene una estructura de plugins y tampoco está pensado para serlo, simplemente es una herramienta que gracias a sus diferentes opciones, permite dismunuir su nivel de exposición antes de pasar a un servidor de Producción.

WordPress 3.9.2 es la versión estable al día de la fecha y WPHardening es totalmente compatible incluso con versiones anteriores, aunque desde ya, saben que no es para nada recomendable utilizar alguna versión anterior por sus posibles problemas de seguridad reportados.

Volviendo a la idea principal de WPHardening como herramienta, la idea es trabajar siempre en un servidor de desarrollo totalmente distinto de el de producción, con lo cuál podemos ir adoptando nuevos procedimientos tanto para la instalación como la actualización y posteriormente para su documentación de un WordPress.

Una de las primeras opciones necesarias para que WPHardening trabaje es la de un directorio de trabajo ( -d ) donde el mismo tiene que contener un proyecto de WordPress. Luego de dar vueltas con algunas funcionalidades, WPHardening lo que hace es realizar un chequeo de cada uno de los archivos de un proyecto real en WordPress analizando la cantidad de coincidencias y deliberando si ese proyecto se trata o no de un WordPress.

Para ello podemos ejecutar

$ ./wphardening.py -d /path/completo/wordpress

Para obtener más información podemos utilizar el parámetro -v

$ ./wphardening.py -d /path/completo/wordpress -v

Esta es una forma de validación y verificación de un proyecto en WordPress que siempre se ejecuta cuando utilizamos la herramienta.

Saludos!

2014-08-21

#RadioHack 19/08/2014


Ya está disponible el episodio de #RadioHack del día 19/08/2014 nuevamente con la conducción de Matias Katz, Cristian Amicelli y el Chino Ogawa conversando de Black Hat SEO sobre la muerte de Robin Williams y el virus del ébola, Patch de Microsoft que causa un BSOD, Satélite World View 3 con posibilidad de sacar 680.000 km. de fotos diarias


Saludos!

2014-08-19

Como monitorear un servidor Squid3

Squid3 es un excelente Proxy Cache para implementar en las redes y mejorar notablemente el rendimiento de acceso a Internet a los diferentes usuarios, asignar prioridades y calidad de servicio entre otras cosas.


Es por ello que para monitorear este servicio tan importante, no basta con observar los archivos Logs que genera, para ello tenemos la herramienta squidclient.

squidclient es una herramienta que proporciona una interfaz de línea de comandos para recuperar direcciones URL. Diseñado para probar cualquier servidor HTTP 0.9, 1.0, o 1.1 web o proxy.
Esta herramienta se puede combinar con secuencias de comandos para realizar cualquier operación básica HTTP. Algunas de las características adicionales para el acceso a la memoria caché de objetos proxy Squid y se proporcionan información de gestión.

Lo más importante, es que squidclient nos brinda mucha información para poder tomar las decisiones correcta, mejorar su rendimiento y optimizaciones.

$ squidclient -p 3128 -h 127.0.0.1 mgr:menu

Con este comando van a poder ver todas las opciones y estadísticas que squidclient nos brinda.

Por ejemplo para observar nuestros delay pools definidos podemos ejecutar:

$ squidclient -p 3128 -h 127.0.0.1 mgr:delay

2014-08-18

Predictive pseudo-random nubers generator in Debian

Revisando alguno de los videos favoritos en diferentes conferencias, encontré para compartir en este caso a Luciano Bello y Maximiliano Bertacchini en la 4ta edición de la Ekoparty 2008 presentando “Predictive pseudo-random numbers generator in Debian” uno de los primeros y más peligrosos fallos descubierto en OpenSSL

A disfrutar de la matemática, criptografía y hacking


Predictive pseudo-random numbers generator in Debian - ekoparty Security Conference 4th edition from ekoparty on Vimeo.

Saludos!

2014-08-15

The Original Hackers Nº 8


Ya se encuentra disponible “The Original HackersNº 8, una de las revistas digitales libres favoritas, escrita por Eugenia Bahit.

Este número, a diferencia de los anteriores, Eugenia nos preparó nuevos temas para compartir como:


  • PHP y el manejo de objetos en memoria
  • PHP: Hacking, Debugging o simplemente diversión
  • Software Libre y las diferencias con el software privativo, desde una óptica intrínsecamente profesional y no política
  • La orientación a objetos y sus enfoques como estilo y paradigma


Les debo confesar que una de las notas que más me gustó es la de “Software Libre y las diferencias con el software privativo...” en lo particular, me considero un activista del software libre, trabajo con software libre y genero software libre y les recomiendo que la lean.

A no perderse esa nota y todas las que completan este nuevo número de la revista “The Original Hackers”

Saludos!

Enlace | The Original Hackers Nº 8

2014-08-13

#RadioHack 12/08/2014


Ya está disponible el episodio de #RadioHack del día 12/08/2014 y en los primeros 10 minutos dedicado a los fanáticos de MK remontando a los viejos recuerdos en los videos juegos!

Nuevamente con la conducción de Matias Katz, Cristian Amicelli y el Chino Ogawa charlando sobre de Review de charlas Black Hat & Defcon 2014, 1200 millones de cuentas rusas robadas, Rooteo al BlackPhone, Ataques Teensy USB.


Saludos!

2014-08-11

Criptografía y Matemáticas

Hace apenas un par de días, rendí para un concurso una unidad de Criptografía moderna, lo cuál me hizo recordar la adrenalina previa a los exámenes, pero entre tanto material para chequear y leer encontré un video del matemático Adrian Paenza en la Tercera temporada de su programa “Alterados por Pi” y lo quería compartir con ustedes.


Saludos!

2014-08-09

ClickaSeguro - I Jornadas Ciberseguridad

I Jornadas en Ciberseguridad ClickaSeguro, una iniciativa social para todos los sectores de la sociedad con el principal objetivo de fomentar la seguridad informática en el uso de las TIC.

Las jornadas son totalmente gratuitas y además van a contar con un streaming para que podamos asistir a las conferencia a la distancia.

No dejes de inscribirte a los talleres gratuitos que se van a llevar a cabo desde el 15 al 19 de Septiembre de 17hs a 20hs, los mismos tiene la siguiente temática:

Día 15: Educadores y Ampas
Día 16: Políticos y Periodistas
Día 17: Discapacitados
Día 18: Empresarios PYMES
Día 19: Abogados y Policias

El 20 de Septiembre, en el Teatro Auditorio Municipal, se van a llevar a cabo las 17 ponencias de profesionales de la seguridad informática, desde las 9:30hs hasta las 20hs.

Objetivos

  • Fomento de buenas prácticas en el uso de Internet
  • Fomento de Seguridad Informática (Ciberseguridad)
  • Asesoramiento en Delitos Informáticos y Cumplimiento Normativo
  • Formación de Usuarios, Docentes, Profesionales/Empresarios PYME
  • Fomento de las nuevas tendencias en Tecnología de la información y Comunicación.



Recuerden que tanto los talleres como las conferencias son totalmente gratuitas

Saludos!

Enlace del evento | www.clickaseguro.es

2014-08-08

Actualización de seguridad WordPress 3.9.2


Desde hace un par de días, se encuentra disponible una nueva actualización de WordPress 3.9.2 solucionando importantes fallos de seguridad.

Este trabajo en conjunto a la colaboración del equipo de Seguridad en Drupal para solucionar estos problemas detectados.

Estos son los siguientes parches que soluciona la versión 3.9.2


  1. Soluciona la posibilidad de denegación de servicio al procesar XML PHP en XML-RPC
  2. Arregla una posible, aunque improbable,  posibilidad de ejecutar código al procesar widgets.
  3. Evita fugas de información a través de entidades XML en la librería GetID3.
  4. Añade protección frente a ataques de fuerza bruta mediante instancias CSRF.
  5. Evita ataques de scripts cruzados (XSS) que podría lanzar un administrador.


Al contrario de lo que muchos sitios de ayuda a WordPress recomiendan, no activen las actualizaciones automáticas, tengo el concepto que si algo se va a actualizar en el sistema tiene que ser con el concentimiento del administrador y tiene que ser forzado por el, recuerden que es una actualización y hay que darle la importancia que merece.

Por otro lado les quería mencionar que WPHardening 1.3 es totalmente compatible con esta nueva versión de WordPress, así que pueden utilizarlo sin ningún problemas.

Saludos!

Enlace | WordPress 3.9.2

2014-08-07

#RadioHack 05/08/2014


Ya se encuentra disponible el programa de este último Martes de #RadioHack junto a Matias Katz, Chino Ogawa y Cristian Amicelli, en esta oportunidad hablando sobre Deanonimizada la Red Tor, Chat seguro de BitTorrent "Beep", Semana Defcon y Black Hat, Vulnerabilidades en Facebook, y la filosofía detrás de la criptografía.


Saludos!

2014-08-06

Sistemas de Prevención de Intrusos

Continuamos repasando algunos de los conceptos claves en la Seguridad de la Infraestructura de la Red, hoy vamos a hablar sobre los IPSs.


Los sistemas de prevención de intrusos (IPS) están estrechamente relacionados con los IDS y están diseñados no sólo para detectar ataques, sino también para evitar que los anfitriones (host) de las victimas proyectadas sean afectados por los ataques.

Si un programa malicioso contiene comandos que, al ejecutarse, causan que un sistema elimine todos los archivos de su directorio, un IPS debe evitar que esto ocurra.

En otras palas, un IPS actúa sobre un patrón predeterminado o un comportamiento en la red, para evitar un posible ataque. Por ejemplo. Es posible agregar IPS en las autenticación del servicio SSH sobre un Servidor GNU/Lunux indicando diferentes patrones como las contraseñas no válidas, número de intentos fallidos, cantidad de conexiones por IP, etc. De cumplirse alguna de esas reglas, el IPS debe actual bloqueando la dirección IP con la que se está intentando acceder.

El enfoque de impedimento de intrusos parece ser efectivo para limitar daños o interrupciones a los sistemas atacados. Sin embargo, al igual que con un IDS, el IPS debe estar debidamente configurado y ajustado para ser efectivo. Los valores de configuración del umbral que sean demasiados altos o demasiados bajos conducirán a una efectividad limitada del IPS.

Adicionalmente, causa cierta preocupación que los IPS por si mismos puedan constituir una amenaza, ya que un atacante astuto podría enviar comandos a un gran números de anfitriones (hosts) protegidos por un IPS para ocasionar que funcione mal. Esa situación sería un resultado potencialmente catastrófico en el típico ambiente de computación corporativo de hoy en día, en el cual la continuidad del servicio es crítica.

Saludos!

Fuente | Manual de Preparación al Examen CISA

2014-08-05

@chinoogawa en @c5n

Este fin de semana, tuve la suerte de estar viendo en el canal de noticias @c5n una entrevista a Nicolás Ogawa dando algunos consejos interesantes para manejarnos en nuestra vida digital y en las redes sociales.



Saludos!

2014-08-01

WPHardening 1.3

Que bueno es volver a escribir sobre este proyecto que tantas satisfacciones me da a nivel profesional, simplemente contarles que después de varios meses de trabajo, programación e implementación de nuevas funcionalidades, ya se encuentra disponible WPHardening 1.3


Esta nueva versión de WPHardening contiene varias mejoras y nuevas funcionalidades que les quería compartir:

  • Se corrigieron algunos bugs y excepciones cuando no se detecta una conexión a Internet.
  • Se implementó una mejora en la detección del proyecto WordPress basado en un extenso diccionario.
  • Se incorporó Latch como recomendación de plugins de Seguridad.
  • Totalmente compatible con WordPress 3.9.1 o inferiores, incluso ya me encuentro haciendo pruebas para el nuevo WordPress 4.0
  • Se implementó la búsqueda de las librerías timthumb.php dentro de todo el proyecto, simplemente para alertar al usuario que existe.
  • Dentro de lo que es el código fuente del proyecto, se renombraron algunas variables para no perder la estética y simpleza de su código.
  • Otra implementación, es la posibilidad de actualizar siempre a la última versión estable con la opción --update
  • Finalmente, complete el modo verbose para todas las opciones de wphardening.

De entre las modificaciones, trabajé mucho en la estética de su código y en la simpleza de las funciones, por otro lado hay una extensa lista de tareas para seguir trabajando y mejorando mucho más.

Para descargar WPHardening mi recomendación es que lo hagan desde GitHub de la siguiente manera

$ git clone https://github.com/elcodigok/wphardening.git

De todas maneras, a partir de esta versión van a tener la posibilidad de actualizarlo desde la misma herramienta que va a consultar al repositorio de GitHub

$ ./wphardening.py --update 

2014-07-30

#RadioHack 29/07/2014


Un nuevo Martes pasó y con él una nueva emisión de #RadioHack junto a Matias Katz, Chino Ogawa y Cristian Amicelli, en esta oportunidad hablando sobre 900.000 apps maliciosas en Google Play, Instagram envia cookies por HTTP, Plugin de Wordpress vulnerable a file upload, de-anonymity en Tails OS, Etica profesional: caso Snowden.


Nuevamente quería agradecer a todo el equipo de #RadioHack por recomendar uno de mis proyectos Software Libre para fortificar WordPress llamado #WPHardening y comentarles que este 1ro de Agosto voy a estar publicando su versión 1.3

Saludos!

2014-07-28

Como fusionar GoLismero y SpiderFoot

Hace unos días estuvimos hablando de SpiderFoot, realmente una excelente herramienta de footprinting que el software libre nos regala y por otro lado, en algún momento estuvimos hablando sobre GoLismero, otra herramienta integradora ideal para el uso diario en nuestros pentesting.

Hoy les propongo mostrarle la forma de como integrar las búsquedas de SpiderFoot junto al poder de GoLismero, no se lo pierdan.

Dando el supuesto de que las dos herramientas ya la tenemos en nuestro entorno de prueba, directamente descargados desde sus repositorios en GitHub, lo primero que vamos a hacer es ejecutar el servidor de SpiderFoot de la siguiente manera:

$ cd spiderfoot/
$ python sf.py


2014-07-24

OwnCloud 7

Tal y como estaba planificado, ayer fue el gran lanzamiento de ownCloud 7, el software OpenSource que te permite crear un SaaS (Software as a Service) en tu propio servidor, dando la posibilidad de usar una nube privada o hídrida.


Frank Karlitschek, creador del proyecto y principal desarrollador comentó en su blog personal:

La liberación de ownCloud 7 no es sólo la celebración de un montón de trabajo duro por la comunidad ownCloud, sino también un nuevo comienzo! No sólo vamos a lanzar actualizaciones de esta versión, solucionar problemas y añadiendo traducciones, pero la comunidad ahora también empieza a actualizar las numerosas aplicaciones OwnCloud a ownCloud 7.

Características de ownCloud 7


  • Mejoras muy importantes a la hora de compartir archivos, ahora es mucho más simple y flexible
  • Mejoras en la Edición de archivos colaborativo, ahora se puede convertir los documentos de Microsoft Word y editarlos on-line.
  • Notificación en la actividad de los archivos, permite notificar por email toda actividad que pase en un directorio.
  • Nuevas vistas en el navegador de archivos, mucho más ordenado y simple.
  • Indicador de fortaleza a la hora de crear nuestro password, de mucha ayuda para los usuarios para indicarle el nivel de robustes de sus claves.
  • Importante optimización en la velocidad de carga de los archivos CSS y JavaScript.
  • Nuevo Administrador de usuarios, con mejoras para administrar los grupos.
  • Mejoras en el Acceso de Almacenamiento Externo como FTP, Dropbox, Google Drive, sFTP, Swif, S3, WebDAV, SMB/CIFS entre los más utilizados.
  • Implementación de objetos Swift como objeto de almacenamiento.
  • Integración con un escanner de Antivirus, podemos implementar CLAM AV.
  • Mejoras en la implementación de autenticación con LDAP y ActiveDirectory.
  • Wizard para la configuración de SMTP.
  • Template de correos editable.
  • Mejoras en la implementación de Cuotas de disco, incluido almacenamiento externo.

2014-07-23

#RadioHack 22/07/2014


Ya se encuentra disponible el programa de esta semana, luego del mundial y de unas semanas #RadioHack volvió a sonar en vivo, esta vez con Cristian Amicelli de vacaciones, Matias Katz ( @MatiasKatz ) y el Chino Ogawa ( @chinoogawa ) estuvieron hablando sobre Fotos accedidas por la NSA, Charla sobre TOR en Black Hat cancelada, Vulnerabilidad a Java, el poder de Google, seguridad en aeropuertos, vulnerabilidad en gateways Cisco


Saludos!

2014-07-22

Sistemas de Detección de Intrusos

Otro elemento para asegurar las redes y que además complementan la implementación de los firewalls, es un sistema de detección de intrusos (IDS). IDS funciona junto a los routers y firewalls monitoreando las anomalías en el uso de la red.

Un IDS opera de manera continua en el sistema, ejecutándose en segundo plano (background) como un servicio y notificando a los administradores cuando detecta una amenaza percibida.

Podemos encontrar 2 tipos de IDS:

IDS basados en la red: Estos identifican los ataques dentro de la red que ellos están monitoreando y emiten una advertencia al operador.

IDS basados en host: Estos están configurado para un ambiente específico y monitorearán los distintos recursos internos del sistema operativo para advertir sobre un posible ataque.

Componentes de un IDS


  • Los sensores son los responsables de la recolección de los datos.
  • Los analizadores que reciben la información entrante proveniente de los sensores y que determinan la actividad del intruso.
  • Una consola de administración
  • Una interfaz de usuario.


Características

Las características disponibles en un IDS incluyen:

  • Detección de intrusos
  • Recolección de evidencia sobre la actividad del intruso
  • Respuesta automatizada
  • Política de seguridad
  • Interfaz con la herramientas del sistema
  • Gestión de políticas de seguridad


2014-07-21

SpiderFoot

Hoy me gustaría recomendarles una herramienta que nos puede facilitar mucho la tarea de Footprinting a la hora de iniciar cualquier Pentesting.

Se llama Footprinting a las técnicas utilizadas para recopilar datos relevantes del objetivo a analizar antes de realizar cualquier test de intrusión. Por ejemplo: número de telefonos, direcciones IP, rangos de red, dominios, usuarios, etc.

Para esta tarea existen varias herramientas que podemos utilizar, pero hoy quería recomendarles la que estoy utilizando desde hace tiempo, llamada SpiderFoot.


Antes, hacer este trabajo sin una herramienta requería de un buen manejo de buscadores, varias pestañas abiertas, crear scripts para hacer un match de alguna expresión regular, cosas muy a al estilo ninja, muy divertidas pero a su vez el tiempo que requería comenzar era bastante y siempre hablando de la primera etapa en un Pentesting, donde muchos la califican como la más importante.

SpiderFoot es una herramienta que automatiza todas estas búsquedas de información, dejando algunos detalles técnicos, les puedo comentar que está escrito en Python, es multiplataforma por lo que se puede ejecutar en sistemas Windows y Linux, y además es una herramienta Open Source.

Cada escaneo que realizamos en SpiderFoot no da la posibilidad de escoger entre más de +30 módulos tales como DNS, E-Mail, Google, GeoIP, Shodan, Social Network, Web Server, etc.

Otras de las cosas interesantes de SpiderFoot son los reportes Web, que nos van indicando en todo momento el estado de cada escaneo y su resultado final en tiempo real, con un excelente trabajo estético en los reportes web.


2014-07-18

Regresamos al dominio .com.ar

Les voy a contar como fue que perdí el dominio caceriadespammers.com.ar algo que desde hace tiempo lo sabía ¿? y como fui que lo recupere.

Por le 2012 NIC Argentina decidió cambiar y modernizar los sistemas para la registración de dominios, priorizando la seguridad, simplificando la gestión de los dominios y cobrando un canon anual por cada dominio registrado, algo que se viene dando muy bien, al igual que se publicaron los tiempos de migración y se fueron cumpliendo paso a paso.


NIC Argentina, bajo la jurisdicción de la Dirección Nacional de Registro de Dominios de Internet, tiene la responsabilidad de administrar el dominio de nivel superior .ar, además del registro de nombres de dominio de Internet de las personas físicas y jurídicas.

Para poder continuar como dueño de los dominios, los usuario teníamos que registrarnos con una cuenta de correo y vincularla con el anterior servicio, tal y como se mostraban en los documentos y videos que NIC Argentina comenzó a circular por las redes sociales.

El problema con caceriadespammers.com.ar surgió en la vinculación de los datos, ya que cuando voy a verificar la lista de dominios, aparecían unos 10 dominios que son de clientes, familia, amigos y otros proyectos pero no aparecía caceriadespammers.

En el buscador de dominios de NIC Argentina aparecía esta información asociada al dominio


Lo único que coincide aquí es el Nombre y Apellido, el resto de la información no corresponde a mi persona y eso en el área de atención al usuario se lo hice saber varias veces, reporte datos falsos, intercambiamos correos, pero ninguno de estos puntos dio resultado.

Por la cuál, la única solución fue esperar a que el dominio se venciera y nuevamente registrarlo, corriendo el riesgo de que otra persona tenga la posibilidad de registrarlo.

En todo este tiempo, afortunadamente utilizamos el dominio .blogspot.com para seguir en contacto y compartiendo información, por supuesto que no es lo mismo.

Y esa fue la historia de como injustamente perdí un dominio hoy lo recupere.

Saludos!

2014-07-17

Algún día, no te vamos a creer más #SPAM

Hoy muy temprano, revisando la casilla de correo no pude evitar tentarme de la risa al recibir un correo a mi cuenta de gmail.com


Aunque al parecer no fui el único quien recibió este tipo de #SPAM


Hace un poco más de un año, ya les comentaba lo decadende que estaba este tipo de prácticas para buscar engañar a los usuarios y hoy definitivamente lo vuelvo a confirmar.




Este tipo de correo sinceramente ni mi padre que no es un gran conocedor de informática precisamente, creería lo que dice, es tan obvio y tan mal creado el engaño que realmente causa mucha risa.

Lo único que nos queda por hacer es denunciar y comentar esas prácticas fraudulentas, no entre nosotros que vivimos viendo esto, sino más bien entre los miembros de nuestras familias, reuniones de amigos, colegas de trabajo. Para evitar el engaño hacia ellos que siempre son el eslabón más débil en la cadena.

Saludos!

2014-07-14

Lo que se viene la IV edición de Navajas Negras

Ya se encuentra publicada las fechas para este IV Congreso de Seguridad Informática Navajas Negras, que van a ser el 2, 3 y 4 de Octubre en Albacete – España.


Recientemente y con anticipación se comenzaron a dar detalles sobre este evento, por ese motivo se encuentra abierto su Call For Paper para tener la posibilidad de ser un miembro activo de esta jornada mostrando tus conocimientos sobre diferentes temáticas y además se encuentra abierto el Call For Training para poder dictar talleres y dejar más conocimientos a esta jornada.

Las novedades


La principal novedad es que vamos a contar con 15 ponencias y 6 talleres gratuitos de la mano de los mejores expertos nacionales de Seguridad Informática y de los que vais a poder realizar hasta 4 diferentes como máximo. Pero esto no es todo... Vais a ser vosotros los que tengáis la oportunidad de elegir de entre todos los CFPs/CFTs enviados aquellos que más os gustan y queréis ver o asistir. Sin trampa, ni cartón...

Otra novedad, es que vais a poder dejar vuestro Curriculum Vitae en un área de reclutación con una urna para cada empresa que lo ha solicitado y los recibirán para sus procesos selectivos. Ya sabéis... a preparar un buen CV y llevar varias copias a "la Navaja" para dejarlas en el "Recruitment Area".

Nos gustaría que fuera un evento completamente gratuito como fueron los dos primeros, pero ya tenemos las cuentas finales previstas y tendrá un coste total de 30,00 euros por persona. En dicho coste se incluye el catering (desayuno, almuerzo y merienda) incluyendo bebidas para todos los días y la comida y fiesta del último día. También tendrás un descuento de un 33% si eres estudiante o te encuentras desemplead@ (en breve pondremos la documentación que se deberá presentar para acreditar dichas condiciones) por lo que el coste total será de 20,00 euros con el descuento. Haz clic aquí para tener toda la información para poder adquirir las entradas y votar los papers recibidos.

Por otro lado, si queres ganarte una entrada al congreso, nuestro amigo Roberto García de 1GB de Información está realizando un sorteo y les recomiendo que se den una vuelta por el blog para participar!

Esto es lo que se viene en la IV edición de Navajas Negras. Te lo vas a perder?

Saludos!

Enlace | navajasnegras.com

2014-07-06

Nuevo proyecto para fortificar ownCloud


Desde hace un par de años que comencé a utilizar el sistema ownCloud para crear mi propia nube privada SaaS en vario de mis servidores en producción para compartir archivos entre los usuarios de mi rad.

Haciendo uso además de muchas de las bondades que encontramos en ownCloud como es la autenticación de usuarios con servidores LDAP, notificación de correo, la edición colaborativa, el uso de los protocolos WevDAV, CalDAV y CarDAV entre otras cosas.

Si bien a cada una de las instalaciones de ownCloud dentro de cada servidor se realiza su proceso de  hardening o fortificación previo, como la eliminación de archivos innecesarios, la configuraciones extrema de cada servicio como así también del servidor junto a su firewalls y su IDS/IPS.

La necesidad ahora es lograr automatizar el proceso de hardening para ownCloud, teniendo la posibilidad de descargar un paquete y revisar sus librerías, actualizaciones, eliminaciones de archivos, etc. Hasta lo que tengo entendido no se encuentra ninguna herramienta para tal fin disponible para poder usarla.

En lo personal, desde hace un buen tiempo estoy trabajando y programando WPHardening que es una herramienta que nos puede ayudar a securizar los proyectos en WordPress.

La idea de este nuevo proyecto, que por el momento no tiene nombre, ni siquiera los requerimientos formales para comenzar a trabajarlo es justamente lograr realizar una herramienta que nos ayude a dejar lo menos expuesto ownCloud en nuestros servidores. Seguramente lo que valla a hacer va a estar basado en WPHardening, pero con muchas modificaciones.

Mi invitación es para todos los programadores o informáticos que utilizaron o están utilizando ownCloud como su nube privada a que se sumen a este proyecto y realicen sus aportes.

Estoy seguro que a medida que avance les voy a estar dejando los detalles del trabajo en el blog. Se animan a participar en este proyecto? Los espero a todos!
Saludos!

2014-07-03

The Original Hackers Nº 7


Ya tenemos disponible la entrega número 7 de la revista digital libre “The Original Hacker” escrita por nuestra amiga Eugenia Bahit ( @eugeniabahit ) correspondiente al 30 de Junio del 2014.

Para este número, Eugenia nos preparo:


  • Europio Engine Lab: URL customizables y slugs en Europio Engine
  • Ingeniería de Software y estructura de directorios definitivas en aplicaciones MVC modulares.
  • Hack para emular la autocarga y desactivación de módulos de un sistema como política de emergencia frente a fallos inesperados.
  • Ese Captcha no verifica a los humanos, sino que comprueba su miopía. 


Además con el hashtag #AcertijoTOH7 podes participar del acertijo que está al final de la edición.

Saludos!

Descarga | The Original Hacker Nº 7

2014-07-02

Ambientes de pruebas y producción

Cuando nos encontramos en una situación en la que por algún motivo nuestro ambiente actual de producción debe ser modificado, actualizado o cambiar de un estado a otro, es necesario, para evitar  los riesgos de una posible caída del sistema o degradación del mismo, imitar varios escenarios similares y lograr ensayar esos cambios allí.


Un ambiente de producción, es un ambiente sumamente controlado, tanto por los recursos que están involucrados como en las configuraciones de cada sistema o servicio, en tanto que un ambiente de pruebas lo podemos considerar como un escenario con poco control, en donde generalmente podemos modificar todos sus componentes sin miedo o temor a “romper” algo.

Hoy en día, gracias a las tecnologías de virtualización, es muy simple crear entornos de prueba basados en un entorno de producción, para que el escenario sea lo más parecido al que luego hay que implementar. Todo depende de los hipervisores que se estén usando, basta con clonar esa maquina virtual o pasar de una máquina física a una virtual.

Recuerden, sea cuál ser el servidor, el servicio, las configuraciones, las librerías, etc. lo mejor que podemos hacer es probar siempre primero en su entorno de desarrollo siempre. Con esto podemos evaluar su comportamiento y luego planificar su implementación en su entorno de producción.

Llevándolo un poco más a la práctica, por ejemplo, un buen diseñador web puede crear un nuevo estilo para una web desde su entorno de desarrollo, ver el comportamiento de ese estilo en diferentes navegadores, realizar las optimizaciones, etc. Lo mismo puede hacer un administrador de sistema, cuando por ejemplo debe migrar a una versión reciente de WordPress, es muy simple montar un LAMP, importar la base de datos extraída del entorno de producción y probar y actualizar el sistema WordPress, hacerlo una o varias veces o dejar que nuestro compañero aprenda sobre ese mismo escenario.

Las posibilidades hoy por hoy son infinita,  la verdad que les aseguro que se van a ahorrar muchos dolores de cabeza.

Saludos!

2014-06-30

GoLismero 2.0 Beta 3

Desde hace ya un tiempo, me dediqué a utilizar en mis Auditorías de Seguridad a la herramienta GoLismero y la verdad que desde el primero momento fue una experiencia única.


GoLismero


… es un Framework Open Source destinado al Pentesting. En la actualidad, está dirigido a la seguridad en aplicaciones web, pero es posible ampliarlo para otro tipos de aplicaciones o estructuras de sistemas. Tiene la capacidad de ejecutar sus propias pruebas de seguridad y utilizar una gran cantidad de herramientas de seguridad conocidas (OpenVas, Wfuzz, SQLMap, DNS recon, etc.) Una característica que la hace única a GoLismero, es la capacidad de retroalimentarse de información de cada plugin o herramienta y unificar de forma automática sus reportes.

Esta herramienta, se ejecuta en la consola de comandos, como lo dijimos anteriormente, está fundada desde sus inicio como Software Libre bajo la licencia GNU/GPLv2, es multiplataforma, debido que lo podemos ejecutar en Windows, GNU/Linux, *BSD y OSX, se encuentra programada en Python, es muy simple y rápido al momento de comenzar a usarla, existe la posibilidad de crear nuestros propios Plugins y colaborar al proyecto, unifica los reportes, etc. Con todas estas características, como no probar GoLismero y por que no colaborar al proyecto.

El equipo de GoLismero está compuesto por Daniel García ( @ggdaniel ), Mario Vilas ( @Mario_Vilas ) y Raúl Requero ( @rrequero )

Entradas populares