2015-01-29

How GitHub is redefining software development

Esta entrada no es más que una difusión de una entrevista asincrónica en la cuál colaboré para el sitio HELP NET SECURITY gracias a la invitación de Mirko Zor, HNS Editor in Chief.


La idea del artículo era dar a conocer nuestra experiencia con el uso de GitHub y cómo gracias a esta plataforma, las metodologías de trabajo fueron cambiando.

Saludos

Enlace | How GitHub is redefining software development

2015-01-12

Como buscar posible #malware en tus servidores web

Este es un método que utilizo para monitorear constantemente alguno de los servidores webs que administro, todos basados en tecnología LAMP.


Ustedes saben que un posible atacante que compromete una web generalmente intenta ocultar la información haciendo uso de la función para PHP llamada base64_encode y base64_decode. Esto lo hacen por una simple razón lógica, la idea es ocultar cosas tan obvias que hasta un programador Jr lo podría descubrir y para ellos hacen uso de esas funciones.

base64_encode — Codifica datos con MIME base64, este tipo de codificación está diseñado para que datos binarios sobrepasen capas de transporte que no son de 8-bits 100%, como por ejemplo el cuerpo de un E-Mail.

base64_decode — Decodifica datos codificados con MIME base64.

La codificación en Base64 hace que los datos sean un 33% más largos que los datos el originales.

Entonces para no estar buscando por todos lados y perder el orden de las cosas voy a hacer uso de la consola y un pequeño pero poderoso comando llamado grep

Suponiendo que el virtual host de un usuario sea /home/usuario/public_html/ o bien sea el clásico /var/www/ ingresamos a dicho directorio que queremos realizar busquedas y ejecutamos:

$ grep -ail -e "base64_encode(" -e "base64_decode(" . -R

A partir de aquí podemos encontrar cosas tan bonitas como estas.


Bien escondido el base64_decode() pero evidentemente no para grep.

Con esto no significa que no encontremos falsos positivos, yo lo utilizaría más para realizar una búsqueda rápida y dirigida hacia determinados archivos y directorios.

A hora queda poner en práctica lo aprendido y dejarme sus comentarios.

Saludos!

2015-01-09

Compartí tu blog de Seguridad Informática

Ayer por medio de mi cuenta de Twitter, les pedía a mis seguidores que me recomendaran blogs o nuevos proyectos basados en Seguridad Informática para poder leerlos, dentro de mi listado de RSS, en una depuración y limpieza de inicio de año, me dí cuenta que muchos de los blog que estaban allí dejaron de actualizarse hace tiempo.

Sin embargo, se que ustedes están trabajando y compartiendo información, y es por ello que si se animan envíen en los comentarios todas sus recomendaciones para leerlos y establecer algún feedback.


¿Por qué les recomiendo escribir un blog?


Tengo varios años escribiendo blog, creo que en un punto perdí la cuenta, pero estimo que fue hace unos 12 años aproximadamente cuando comenzamos en la movida de programar para la web y contribuir para el software libre.

Tener, Mantener y Escribir un blog es un desafío diario, los que lo tienen saben que es así, sin embargo te va a permitir, además de aprender a diario diferentes temas, investigaciones, etc. les va a permitir crecer intelectualmente, buscar la mejor forma de expresarte y por sobre todas las cosas, compartir el conocimiento.

Así es como encontré este medio para crear una gran comunidad de gente y amigos, establecer contactos realmente gratificantes y mantenerme activo y motivado para seguir aprendiendo y comunicando.

Yo se que tienes tu blog y que estas contribuyendo con la comunidad Hacker! Compartilo en los comentarios... y si no lo tienes que estas esperando?

Saludos!

2015-01-08

Seguridad en WordPress ahora en Google+

Arrancamos el año con el lanzamiento de una nueva comunidad dentro de la plataforma de Google+ llamada “Seguridad en WordPress” con la intención de reunir a todos los profesionales y aficionados que trabajan con WordPress.


El objetivo del grupo es reunir en esta comunidad todos los Enlaces, recomendaciones, Herramientas, Eventos y Noticias con relación a su temática.

Si estás interesado en colaborar y enterarte todo sobre la Seguridad en WordPress te esperamos!

Saludos!

Enlace | Comunidad Seguridad en WordPress

2015-01-07

El mismo Google Hack, después de un par de años

Soy un gran seguidor de todo el ecosistema en el que se encuentra Symfony2, es más, lo sigo desde su primera versión publicada hace ya varios años.

Es por ello que recuerdo que un 23 de Julio del 2012 publiqué un Google Hack: Login en aplicaciones Symfony2.

inurl:/app_dev.php/login "Environment"

En aquel momento los resultados de esa búsqueda quizás no eran significativos, es por ello que hoy reproduje este mismo Google Hack y me llevé una gran sorpresa ;(


No solo que los programadores continúan utilizando el controlador de Desarrollo (app_dev.php) en sus servidores de Producción, sino que además muchos de estos formularios de login continúan utilizando los valores por defecto que se encuentran en la configuración de Symfony2 (parameters.yaml) que para los que no lo conocen el usuario es admin y su clave es adminpass

Si se encuentran trabajando con este fantástico Framework de Desarrollo para PHP5, les recomiendo no descuiden esos detalles que en definitiva les puede generar un gran dolor de cabeza a futuro.

Saludos!

2015-01-06

WPScan Vulnerability Database

Este es un proyecto que depende directamente de la herramienta WPScan, una de las herramientas de auditoría y pentesting en WordPress más utilizada por los profesionales.

Recién por estos días descubrí este recurso y realmente me pareció excelente para seguir el hilo en todas las actualizaciones y problemas de seguridad que se puede encontrar en el Core de WordPress en sus Plugins o Themes.


Por otro lado, WPScan Vulnerability Database, nos permite colaborar con este gran proyecto y podemos enviar los fallos que encontremos para enriquecer esta base de datos y hacer que la herramienta sea aún más efectiva en el proceso de auditoría.

Para los que nos dedicamos a estar revisando la seguridad en WordPress es un recurso muy valioso y que podemos sacar muy buen provecho de toda esa información centralizada.

Saludos!

Enlace | WPScan Vulnerability Database

2015-01-05

Locking Down WordPress

En estos primeros días del año, recién termino de leer este excelente eBook “Locking Down WordPress” escrito y editado por CODEPOET.com


Para la gente que trabaja con WordPress, les recomiendo su lectura. Realmente es simple de entender y rápido para aplicar los cambios en nuestras instancias de WordPress creadas.

Por otro lado, muchos de los Tips y Recomendaciones de seguridad se encuentran implementada en nuestra herramienta #WPHardening que estuvimos promocionando todo el 2014 y que seguramente vamos a estar incorporando nuevas cosas.

Locking Down WordPress excelente título para entender varios fundamentos de Seguridad en WordPress.

Saludos!

Enlace | OpenLibra

2015-01-04

Están todos invitados a publicar sus scripts

Ya a estas alturas podemos decir que arrancamos con todo este nuevo año, atrás quedaron estas últimas semanas para cerrar algunos proyectos y pendientes. A partir de ahora muchos acostumbran hacer “borrón y cuenta nueva” para iniciar el año con más fuerzas.

Tengo la ligera sensación de que este año voy a estar codeando muchos scripts en Python y Bash buscando la forma de automatizar tareas que ejecuto a diario, y por esta razón estoy seguro que los voy a estar compartiendo con ustedes, por otro lado lo interesante de estos lenguajes, es que muchas de las herramientas que utilizamos para realizar Pentesting se encuentran programadas bajo estos lenguajes, por esta razón mientras más código escribamos, más vamos a ir adquiriendo conocimientos para mejorar esas herramientas.


Por otro lado, es muy importante tener una noción básica sobre estos o algunos lenguajes de programación, como PHP, C, C++, Ruby, etc. Todo conocimiento que sirva para una mejor solución y podamos llagar a implementarla, siempre va muy bien.

Cuál es la razón por la que Python me gusta tanto, simplemente uno, escribe en la consola de comandos la palabra python y ya puede estar trabajando con el lenguaje, probando clases y módulos.

$ python
Python 2.7.6 (default, Mar 22 2014, 22:59:56) 
[GCC 4.8.2] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>>

y que les puedo comentar de Bash, para los que estamos acostumbrados a administrar servidores desde la consola, tenemos la capacidad de escribir bastante, y hacer un scripts en Bash no va a ser más que combinar comandos y agregar algunas estructuras de control para ir optimizando.

Una de las cosas que aprendí en estos últimos años, la importancia de poder cuantificar las cosas y realizar informes, no para que los mismos informáticos lo puedan leer, sino para que cualquier persona tenga la capacidad de interpretar y procesar de forma simple, esa información que le vamos a proporcionar.

Gente! Saben programar en algún lenguaje y tienen ganas de compartir sus scripts con la comunidad, pues aquí les dejo mi espacio que es el de ustedes también para que lo puedan hacer.

Saludos!

2015-01-01

Feliz 2015

Gente para todos les deseo un Feliz 2015! para que este año, sea tu año y logren un progreso personal, profesional, laboral y familiar.


Gracias por comenzar el año leyendo este blog y acompañando este proyecto que es parte de mi vida junto a todos los proyectos que les voy contando a lo largo del año.

Un gran abrazo en la distancia y nuevamente un Feliz 2015!

Saludos!

Entradas populares