lunes, 10 de noviembre de 2014

Hack&Beers Team - De CON en beers y de beers en CON

Por fin terminó Octubre, el mes de los eventos de Seguridad. Y es que para aquellos que estamos interesados en todo este tipo de eventos, hemos podido disfrutar de un amplio abanico de posibilidades durante este mes.

A continuación voy a intentar hacer un resumen cronológico de como el equipo de Hack&Beers nos hemos recorrido parte de España y más allá, entre conferencias, beers y otros eventos de seguridad.

Empezamos el mes de Octubre con la WordPress Meetup en Córdoba, donde Miguel Ángel Arroyo y un servidor dimos charlas sobre seguridad, en este caso Miguel presento su plugin de WordPress para bloqueo de IPs maliciosas - MalTOR y yo expuse los fallos más comúnes de seguridad en WorPress y posibles capas de seguridad. 







En esos mismos días tuvo lugar el congreso que ya va por su IV Edición, Navaja Negra (días 2, 3 y 4 de Octubre) en Albacete, donde nuestro compañero de Hack&Beers Madrid, Pablo González estuvo y nos comenta que las cosas a destacar de este evento, además de la calidad de los ponentes, es el gran número de amigos que se hace y el hermanamiento por encima de todo.


Vamos adentrándonos en el mes y tenemos unas señoras jornadas tecnológicas a modo de Lan Party en la ViLANeT (días 9 al 12 Octubre), en las cuales nuestro compañero Miguel Ángel Arroyo dio un taller de Hacking Ético. Las jornadas fueron un éxito y hubo muchas beers entre hack y hack.



En esos días también tuvo lugar el primer Hack&Beers Madrid (día 10 de Octubre) con nuestros compañeros Pablo González y Juan Antonio Calles, donde hubo ponencios de un altísimo nivel, con ponentes como Dani Martínez, Rafa Sánchez o el propio Juan Antonio Calles. Sobre ese evento hicimos una entrada especial y se publicó el Making Off del evento.



Los días 23 y 24 de Octubre se celebró también en Jaén el III edición del congreso de seguridad ConectaCon, de manos de nuestro amigo Raimundo Alcázar, nuestro dinamizador de Hack&Beers Jaén (Tapas Edition). Aquí también tuvimos a Miguel Ángel Arroyo con taller de Hacking Ético y ponencias muy interesantes de la mano de grandes ponentes. Hubo muy buenos momentos con muchos amigos, Jesús Marín y Rafa Otal entre otros de Hack & Beers Huesca. En esta ocasión nos acompañaron los alumnos de mi propio centro. 




Estos mismos días, 23 y 24 de Octubre, nuestro compañero Pablo González se nos fue al otro lado del charco hasta Santiago de Chile, donde participó en el congreso 8.8 con numerosos ponentes de gran calidad. Allí presentó su ponencia sobre ciberguerra.


Llegaba final de mes y se acercaba un evento diferente, el primer Hack&Beers Lleida, y el primer Hack&Beers donde el Hack y las Beers se fusionan, tuvo lugar el 30 Octubre en el parque tecnológico de Lleida, evidentemente se llevo a cabo en la cafetería-restaurante QRCafe PCital del parque tecnológico.


Pudimos disfrutar de ponencias sobre Hacking en IOS y Android, así como una gran ponencia sobre seguridad Web a cargo de Marc Pàmpols.






Los días siguientes (1 y 2 de Noviembre) aprovechamos para asistir al congreso de seguridad NoConName en Barcelona junto a muchos amigos. Grandes ponencias para el congreso de seguridad más antiguo de España, y Hack&Beers no podía faltar a la cita.






Ya terminó el mes de Octubre, y los viajes de aquí para allá. Por ello los primeros días de mes (día 6 de Noviembre) los amigos de HangoutON pensaron en nosotros para que contásemos la historia y la filosofía de Hack&Beers sin movernos de nuestra casa. Celebramos el primer Hack&Beers online con los amigos de HangoutON.




En ella participamos parte del equipo de Hack&Beers de toda España, faltaban bastantes personas, pero estos son los que estábamos: 

Si tienes interés en ver como trabajamos o como puedes montar un Hack&Beers en tu ciudad, ponte en contacto con nosotros en el twitter @hackandbeers.

Bueno chicos, que más se puede pedir, un mes completito y lleno de nuevas experiencias rodeados de amigos. Para terminar informaros que tenemos en cuestión de una semana 3 eventos Hack&Beers planeados por diferentes zonas de España:

Hack&Beers Valencia - 18 Noviembre (Apúntate aquí)


Hack&Beers Huesca (Tamarite) - 18 Noviembre (Apúntate aquí)


Hack&Beers Córdoba Vol. 4 - 20 Noviembre (Apúntate aquí)


Un handshake para todos !! Y a disfrutar de los diferentes Hack&Beers por toda España.

Recordad que tenéis disponible nuestra camiseta en:

Estar atentos porque próximamente tenemos Hack&Beers Barcelona, Jaén, Madrid y algunos más.

Crecemos - Hack&Beers Team by @eduSatoe

"Los locos abren los caminos que más tarde recorren los sabios"
Carlo Dossi

sábado, 11 de octubre de 2014

Primer Hack&Beers Madrid #hbmad

En el día de ayer un ejercito de hackers se reunió en las instalaciones del Centro de Viveros de la Universidad Rey Juan Carlos de Móstoles para asistir a la primera Hack&Beers Madrid de la mano de Pablo González y Juan Antonio Calles.


El evento había despertado mucha expectación y se congregaron allí más de 50 hackers, entre los que había 4 mujeres, todo un logro, ya sabéis: "No Woman No Win" Cartel de lujo de ponentes con Daniel Martínez, Rafael Sánchez y Juan Antonio Calles Y entre el público personalidades tan conocidas en el mundo de la seguridad como Angelucho , Claudio Caracciolo o Chema Alonso entre otros muchos. 


Uniformes de trabajo de los organizadores y comenzábamos la Hack&Beers Madrid.



Comenzaba Juan Antonio Calles su charla sobre "Hacking without hacking" y nos enseñaba diferentes técnicas sobre el proceso de Information Gathering sobre como utilizar los operadores de Google Hacking o el uso de Web tan interesantes como: netcraft.com , cuwhois.com , chatox.com y archive.org entre otras.



Seguía nuestro amigo Daniel Martínez como su charla "Conociendo Rapsberry Pi y Desarrollo de Aplicaciones" donde nos enseñó como montar un fake AP con un Rapsberry Pi con su propio servicio Web para robar credenciales mediante Ingeniería Social.



Por último era el turno de Rafael Sánchez con su charla sobre Seguridad en IPv6, donde dió un repaso a las peculiaridades del protocolo y  nos mostró un ejemplo de tunelización de tráfico IPv6 sobre IPv4.


Y tras finalizar la parte del Hack nos fuimos de Beers para hacer networking de calidad entre todos los asistentes. Grandes profesionales y mejores personas !!



Todo un éxito el evento que será el primero de muchos en Madrid.


Pronto tendréis el Making off del evento con mucho hacking, muchas beers y sobre todo muy buen rollo. Podéis ver todos los tweets del evento con el hashtag #hbmad.

Gracias a todos por vuestras ganas y gracias sobre todo a Pablo y Juanan !!

Un handshake de @eduSatoe

"Lo mejor de cualquier Hack&Beers es conococer gente que comparte tus locuras e inquietudes. Momento networking !!"

lunes, 6 de octubre de 2014

HangoutON comprometidos con la seguridad

Hoy os vengo a presentar la maravillosa iniciativa HangoutON , aunque pocos serán serán los que no la conozcan. Los responsables de esta idea son Antonio Postigo y Yolanda Corral, dos apasionados de las redes sociales con la visión puesta en los contenidos de calidad y con una apuesta personal por lo audiovisual

HangoutON es un canal divulgativo en el cual realizan charlas online de manera distendida todos los jueves a las 22h. Dentro de estas charlas, todos los primeros jueves de mes lo dedican a la seguridad, pudiendo encontrar en su canal de Youtube un gran número de videos con contenidos muy interesantes.

Hace unas semanas ya pudimos ver a nuestro compañero Miguel Ángel Arroyo hablando de Seguridad en la nube junto con otros grandes profesionales del sector.


Esta pasada semana he sido yo el que ha tenido el placer de participar en este fantástico canal hablando de Estafas en Internet y malware. Donde además de hablar de seguridad he pasado unos momentos muy buenos en el backstage de HangoutON con gente tan profesional y "pirata" como Roberto López y Eduardo Arriols de HighSec, Luis Saiz uno de los resposables de seguridad de BBVA o Cristobal del Pino consultor de seguridad de Mkit Argentina. Grandes personas y grandes profesionales.


Desde aquí queremos darle las gracias y la enhorabuena a Yolanda y Antonio por los contenidos que desarrollan cada semana y la cantidad de horas de trabajo de manera altruista que se pegan, todo para crear contenidos de calidad y que el resto de personas puedan acceder a ellos, fomentando la participación y desarrollo de la tecnología día a día

Gracias por contar con Hack&Beers en vuestras charlas y espero nos veamos pronto por Málaga o Valencia !!

Un handshake by eduSatoe.

"La mente es igual que un paracaidas, sólo funciona si se abre"
Albert Einstein

lunes, 29 de septiembre de 2014

Android Forensics: Descubriendo Cuentas de Usuario

Resulta que, como ya comenté en post anteriores, el principio de Locard sigue estando presente en la informática forense, el cual viene a decir que cuando dos objetos entran en contacto siempre se queda residuos (dicho bástamente ;) )

El caso es que si lo aplicamos a la informática forense y, partiendo de esa base, hay mucha probabilidad de encontrar evidencias cuando analicemos un dispositivo.

En este post vengo a mostraros CÓMO es posible identificar las cuentas de usuarios que han existido en un terminal (al menos en el mio) tras hacer una restauración de fábrica.

En ocasiones, y en los terminales Android, es muy común el hacer el típio "Resturar de fábrica" que básicamente lo que estamos haciendo es un Wipe al sistema, borrando todos los datos de usuario, cache de programas, aplicaciones, etc...

Dicho esto, recientemente lo hice en mi terminal, algo antiguo si, pero funcional, hablo de una Samsung Galaxy S GT i9000 el cual está rooteado y con una rom modificadad, CynanogenMod para ser más exacto.

Casi todos la información relativa al usuario y aplicaciones se almacenan en la partición de "Datos". Cuando hacemos un "Retore Default" o "Retaurar de fábrica" el proceso es bastante rápido, lo que me llevo a pensar que en algún lado tendría que hacer una "ligera" copia de los datos de usuario.

Al final, Android es un Unix y como bien sabéis el almacenamiento físico está unido al sistema a través de unos ficheros especiales (controladores) llamados nodos (device nodes). 
Estos nodos nos proporcionan acceso al dispositivo en bruto y a sus particiones, por lo tanto si un nodo de dispositivo es direccionado (cargado o montado por el sistema) nos lleva a pensar que todo el contenido del mismo es accesible por software (en este caso ADB), eso si como root, de ahí la importancia de tener el dispositivo "rooteado".

Podría estar hablando largo y tendido del tema de nodos, pero no es el caso, así que no me andaré más por las ramas.

El escenario es: Dispositivo Android recien restaurado de fábrica. Terminal rooteado y con acceso al mismo por adb.

El primer paso, al conectar el terminal al equipo es comprobar su conectividad, para ello:

$adb devices
List of devices attached
393320C3387D00EC    device


Observamos que el terminal está montado y es accesible por adb.
Lo siguiente que debemos hacer, y como he comentado antes, es acceder al mismo como usuario "root"

$adb root
$adb shell >> abrimos una sesión de terminal en el dispositivo

Ya tenemos nuestra consola abierta.
Vamos a ver qué particiones tenemos montado en el terminal, aqui he de decir que dependerá si nuestro dispositivo está basado en MTD (Memory Technology Device) o en EMMC (Embedded Multimedia Card), las particiones están montadas en /proc/mtd o /proc/emmc/ dependiendo de lo anterior:

root@GT-I9000:/dev/block # cat /proc/mtd                                    
dev:    size   erasesize  name
mtd0: 00780000 00040000 "boot"
mtd1: 00780000 00040000 "recovery"
mtd2: 1a600000 00040000 "datadata"
mtd3: 01180000 00040000 "cache"
mtd4: 00c80000 00040000 "efs"
mtd5: 01000000 00040000 "radio"
mtd6: 00b00000 00040000 "reservoir"


Mi Terminal está basado en MTD, así que me queda comprobar qué tipo de particiones corresponde a qué:

root@GT-I9000:/dev/block # cat /proc/partitions                             
major minor  #blocks  name

  31        0       7680 mtdblock0
  31        1       7680 mtdblock1
  31        2     432128 mtdblock2
  31        3      17920 mtdblock3
  31        4      12800 mtdblock4
  31        5      16384 mtdblock5
  31        6      11264 mtdblock6
 253        0      72804 zram0
 179        0    8028160 mmcblk0
 179        1    6062048 mmcblk0p1
 179        2    1966080 mmcblk0p2
 179        8   15622144 mmcblk1
 179        9   15618048 mmcblk1p1
 254        0     614400 dm-0
 254        1    1347584 dm-1


Llegados a este punto seguro que estáis diciendo, "UFFFFF no me entero de ná ;)", es fácil, lo que hemos hecho es preguntar qué particiones está montando el sistema al arrancar (/proc/mtd/) y luego le pregunto qué nodo es el que ha montado (/proc/partitions), mejor así no?? :D

Aqui es donde entra un poco la picaresca del analista, por decirlo de alguna forma, si somos observadores vemos que mtd1 > monta la partición de recovery y este a su vez monta el mtdblock1 pero... ¡¡¡ El terminal tiene una tarjeta SD !!!!!
Sin pegas, también está montada como mmcblk0p1

Menudo rollo no? La de vueltas que estoy dando, y ahora cuál analizo???

Todo va a depender un poco de cómo esté funcionando el almacenamiento y salvaguarda de los datos en el terminal, pero si que tenemos en claro que el recovery ha podido usar mtdblock1 como mmcblk0p1

Ya tenemos "lo gordo" localizado, ahora nos queda buscar información del usuario/s que han existido. Todos sabemos que cualquier terminal con SO Android ha de tener una cuenta de gmail
Así que vamos a buscarla ;)

$cd /dev/block
$strings mtdblock1 | egrep -o 'account="?.{1,25}@gmail.com"?'
 
Pues no me ha devuelto nada, vamos a probar con la MMC
 
root@GT-I9000:/dev/block # strings mmcblk0p1 | egrep -o 'account="?.{1,25}@gmail.com"?'>
account=*********@gmail.com
account=
*********@gmail.com
account=
*********@gmail.com
account=
*********@gmail.com
account=
*********@gmail.com
account=
*********@gmail.com
account=
*********@gmail.com

Voila!!!! 
YA SABEMOS QUÉ USUARIO HA USADO SU CUENTA DE GMAIL EN ESTE TERMINAL

Pero me surge una pregunta, y si cambio la búsqueda y en vez de account busco password?

Os lo dejo para vosotros :)

viernes, 12 de septiembre de 2014

Hack&Beers - Making off

Como algunos ya sabéis, la filosofía Hack&Beers va creciendo de manera increíble, son muchas las peticiones que recibimos desde todas las partes de España para montar eventos y también algunas del extranjero. Poco a poco iremos incorporando cada vez más dinamizadores en otras zonas, por ahora tenemos todos los que vemos en el mapa.


Agradeceros a todos el interés y las ganas que mostráis día a día. Hace ya unas semanas presentamos nuestra promo de Hack&Beers que podéis ver en el siguiente enlace: "Hack&Beers The Originals"

Ya tenemos disponibles los polos y covers de Hack&Beers, contactar conmigo en @eduSatoe para los pedidos. Os recuerdo que somos una organización sin ánimo de lucro y el precio de los polos y covers es sólo para cubrir su coste.



El motivo de este post no es otro sino el de presentaros nuestro "Making off" del último evento que tuvo lugar el 30 de Julio en Córdoba y que pese a ser período vacacional recibió una aceptación impresionante. Dar las gracias a un profesional en la materia como @powi_ban por su trabajo desinteresado.


Gracias a todos y os esperamos en el próximo Hack&Beers. Y ya sabéis #Hack #Amigos y #Beers.

Un handshake !!


"El genio se hace con 1% de talento y un 99% de trabajo"
Albert Einstein

miércoles, 3 de septiembre de 2014

Pentesting con Android, Listado de Herramientas

Hoy vengo a hablaros de herramientas de [in]Seguridad y Pentesting para dispositivos Android.
Sabemos de sobra que existen muchas herramientas para este Sistema Operativo que cumplen con ese cometido, voy a tratar de haceros un pequeño resumen de las que yo he probado:


En el día de ayer la empresa zimperium hacía publica su aplicación zAnti - Mobile Penetration Testing Toolkit después de tres años de duro trabajo.
La versión de zAnti 2.0 ahora incluye en su versión comunity las siguiente mejoras (os dejo el contenido original):

Android Network Toolkit (zANTI 2.0) is an award-winning mobile penetration testing toolkit that enables IT Security managers and Pentesters to perform complex security audits and simulates advanced hackers’ capabilities in an organization’s network through a user-friendly mobile app.
Download zANTI 2.0 Now! (APK)

  • zPacketEditor – Perform manual pen testing of apps or web applications while performing MITM.
  • ICMP Redirect – Support full duplex MITM, using our own implementation of ICMP redirect.
  • MITM features – Utilize intercept download, redirect URL, replace images and insert HTML.
  • Password complexity audit – Benefit from unlocked optimized, big, huge, custom dictionaries and incremental (brute-force).

 BUGTROID

De los creadores de la distro de seguridad española BUGTRAQ  (poco hay que decir sobre ella que no conozcamos ya). 
La misma está disponible en google play en dos versiones, una free y una pro.

DSPLOIT

Es una de las herramientas más completas que podemos encontrar e instalar en nuestros terminales android si nos dedicamos al mundillo de la seguridad, la misma reúne distintas herramientas para el análisis y pentesting de redes en una sola suite unificada. Permite realizar pruebas de seguridad de la red en la que se encuentra conectada el dispositivo móvil, lo que puede ayudar a hacer tests de seguridad en clientes que haya que auditar ad-hoc. Según la web de los creadores de la herramienta, esta aplicación ofrece el kit de herramientas más completo y avanzado para llevar a cabo este tipo de tareas, apoyándose en las características siguientes.
Para  su instalación es necesario tener el terminal rooteado



En su página web indican que es una aplicación Android para el análisis de seguridad en las redes inalámbricas y la captura de Facebook, Twitter, LinkedIn y otras cuentas.

También dispone de otra aplicación en su web DroidSheep Guard la cual trata de detectar ARP-Spoofing en la red, tales como un ataque de DroidSheep, FaceNiff y otro software.

Personalmente no la he probado.

PenTest Tools List 
 Esta aplicación reune gran cantidad de enlaces a distintas aplicaciones que podemos instalar en nuestro terminal, entre sus características principales:

  • Enlaces a Aplicaciones en la Play Store.
  • Los enlaces a aplicaciones que no están en la Play Store
  • Los enlaces a código fuente de aplicaciones
  • Enlaces a sitios web de la aplicación.
  • Los enlaces a Google el nombre de la aplicación o la aplicación del paquete.
  • Alternativas enlaces a Google Play como por ejemplo Aptoide
Seguramente hay muchas más, y/o conocéis otras, pero estás son las que yo he probado y conozco.

Sed buenos con las mismas.

Things Up!!!

lunes, 1 de septiembre de 2014

Proxychains: qué es y como funciona

Hola a tod@s.

El motivo de este post es completar la información del post del blog de mi amigo Rober García aka @1gbdeinfo en su blog

Proxychains + tor en Kali o como pasar desapercibido 

Todos sabemos, tanto aquellos que nos dedicamos al mundillo de la seguridad informática, como los que estan empezando que permanecer en el anonimato es uno de los aspectos más importantes de la Seguridad Informática si desea llevar a cabo pruebas de penetración en un equipo remoto entonces se requiere conexión activa que seguramente revelar su identidad, a veces es necesario para ocultar su identidad mientras se hace la evaluación de vulnerabilidad debido a su anonimato y la seguridad. 
Proxychains basa su funcionamiento en Proxy Chaning que ess un concepto que es muy útil para ocultar una identidad en Internet.


Pero veamos qué es Proxy Chaining 

El funcionamiento normal de un proxy es cómo el siguiente gráfico:


Pero el funcionamiento de Proxy Chaining es el siguiente:

 Así que podemos decir que Proxy Chaining es el proceso de usar varios proxys en cadena.

 Aclarado este concepto, vamos a ver cómo funciona Proxychains.

Todos sabemos que proxychains es una aplicación Open Source que nos permite realizar conexiones TCP y DNS usando un proxy, como por ejemplo TOR

Ahora bien, TOR no es requisito indispensable para usar proxychains ya que podemos usar cualquier tipo de proxy SOCKS4, SOCKS5 y HTTPS.

Ya sabemos el conjunto que hace proxychains con proxy chaining y su alcance, como bien se describió en el post anterior

Tan sólo añadir una cosilla más, en el fichero de configuración de proxychains vemos tres posibles usos del mismo:

  • Dynamic Chain: muy útil si estás usando proxys públicos. Su funcionamiento es recorrer los proxys en el orden escrito y saltarse los proxys caidos (muertos)
  • Strict Chain: igual que el anterior, pero no se salta los proxys caidos (muertos)
  • Random Chain: toma los proxys en orden aleatorios 
Espero haberos aclaro un poco más el concepto de funcionamiento, así como la forma de trabajar proxychains :)


Jesús D. Angosto
@jdangosto