martes, 31 de mayo de 2016

Esteganografía fácil. Caso práctico



La esteganografía consiste en la aplicación de técnicas para ocultar un mensaje dentro de otro, conocido como portador. El término proviene del griego steganos (oculto) y graphos (escritura). En el fondo se trata de algo tan aparentemente sencillo como es esconder algo a la vista de todos.
En el mundo de la informática se puede esconder cualquier tipo de archivo siendo los portadores típicos documentos multimedia de audio, video o imagen.

La ocultación

Hoy vamos a ver un caso de ocultación esteganográfica muy sencilla usando el método de concatenación conocido como appendX. Este método consiste en algo tan sencillo como “añadir” al final del archivo portador el archivo a ocultar:
 
La forma de hacer esto es muy sencilla. Si estemos en un entorno Windows solo tenemos que ejecutar en el símbolo del sistema, en la carpeta donde tengamos guardados los documentos portador y a ocultar lo siguiente:

copy /b portador.jpg+fichero_a_ocultar.zip escondido.jpg

Tras la ejecución de este comando obtendremos el archivo escondido.jpg. Si lo visualizamos no veremos mas que la imagen del portador.

Ejemplo:
Tengo el fichero White_Cat_and_a_mouse.jpg que voy a usar como portador y el 201_military_base_08.jpg que quiero ocultar. El comando a ejecutar sería:

copy /b White_Cat_and_a_mouse.jpg+201_military_base_08.jpg lindogatito.jpg







Y si miro la carpeta con el explorador de Windows tendré lo siguiente: 




Vemos que la imagen resultado del copiado lindogatito.jpg es indistinguible de la elegida como portadora.

Vamos a ocultar también un archivo zip en otra imagen:



Siendo el resultado como anteriormente indistinguible de la imagen portadora:



Obviamente si hay una diferencia: el tamaño del archivo, pero si eliminamos del ordenador la imagen original no tendremos con que compararla y nos parecerá una imagen sin más.
En sistemas Linux/Unix es también muy sencillo. Se consigue el mismo resultado usando el comando “cat”:

cat portador.jpg ficheroaesconder.zip > ficheroescondido.jpg

Hay otros métodos, pero este es indudablemente el mas sencillo de todos.

El análisis

Ahora imaginemos el siguiente escenario: estamos realizando un análisis forense a un disco duro del que previamente hemos hecho una copia bit a bit del mismo. No es necesario decir que tenemos que usar una de las copias de ese disco y no el original.

Analizando su contenido nos encontramos con varias imágenes que nos parecen sospechosas, ¡quien guarda en su HD fotos de gatos!!!...bueno…no es tan sospechoso…

¿Cómo averiguamos si detrás de esos lindos gatitos nuestro sospechoso está escondiendo algo?
He decidido usar Kali Linux 2.0 para hacer el análisis forense de las imágenes. Si las visualizo sin mas con el visor de archivos veo lo mismo que veía en Windows:




Lo primero que intento, es obtener mas información de las imágenes leyendo los metadatos. Para hacer esto uso la herramienta exiftools que previamente instalo en Kali con el comando:

apt-get install exiftool

Recordar que Kali recomienda usar por defecto el usuario root, por lo que no es necesario hacer sudo.
Buscando información en los metadatos de la primera imagen (bonitogatito.jpg) no veo nada raro:




El análisis de metadatos no da ninguna pista. Usamos otro camino. Instalamos la herramienta stegdetect, que nos permite averiguar si una imagen tiene información oculta y que método de ocultación se ha usado. Tener cuidado con esta herramienta, no detecta todos los posibles métodos de ocultación ya que se ha quedado un poco desfasada, por ejemplo, no detecta el método jphide usado por el programa de ocultación steghide.

Instalar esta herramienta, stegdetect, requiere de un par de pasos. Desde un terminal en Kali ejecutar:

wget http://archive.debian.org/debian/pool/main/s/stegdetect/stegdetect_0.6-3_amd64.deb
dpkg -i stegdetect_0.6-3_amd64.deb

Con esto tendremos instalada la herramienta que vamos a usar a continuación.

Desde el directorio donde tengamos las imágenes a analizar ejecutamos lo siguiente:

stegdetect *.jpg

Obtenemos el siguiente resultado:




Esto ya si que nos da información: las dos primeras imágenes tienen datos añadidos al final. La primera aparentemente esconde un fichero con cabecera PK, lo que quiere decir que puede ser un .zip, y el segundo un Exif II que es una imagen.

La extracción de la información oculta

Pues ahora que sabemos que tenemos dos imágenes portadoras de archivos ocultos vamos a ver cómo podemos separar ambos.

El proceso es prácticamente el mismo en ambos casos. Lo primero es proceder a examinar con un editor/visor hexadecimal cada uno de los archivos para buscar las cabeceras y finales esperados para la extensión. En nuestro caso, tratándose de ficheros .jpg buscaremos en hexadecimal 0xFFD8 (SOI: Start Of Image) como cabecera y 0xFFD9 (EOI: End Of Image) como final. La información existente después de este final será el fichero oculto tras la imagen.

Usaremos como editor la herramienta hexeditor que trae Kali. Una vez abierto el fichero que queremos analizar usaremos el buscador (ctrl+W) para encontrar los bytes en hexadecimal correspondientes a EOI (FF D9). El resultado es el siguiente:



Aquí ya tenemos mucha información:

1.       La dirección del último byte del archivo contenedor es la 0x27121. Recordar que la columna de la izquierda nos da la dirección de la posición del primer byte de la línea que precede en hexadecimal. En este caso el byte FF está en la posición “00027120”.

2.       Derivado de este dato podemos saber que la longitud del archivo portador es en hexadecimal 0x27122 (recordar que el primer byte está en la dirección 0x00, no en la 0x01. Convirtiendo este valor a decimal, por ejemplo, con la calculadora de Windows o con en Linux con echo $((16#27122)), nos da 160034, que es la longitud en decimal del portador.

3.       Todo indica que el archivo oculto en la imagen es un zip ya que la cabecera es 0x504B, o PK en ASCII.

Ahora solo nos queda extraer el fichero oculto tras el portador. Para ello vamos a usar el comando dd de Linux de la siguiente manera:

dd if=bonitogatito.jpg of=oculto.zip bs=1 skip=160034

Los parámetros usados son:

if: es el fichero de entrada, es decir, la imagen que sabemos que tiene un archivo oculto añadido
of: es el fichero de salida, al que le ponemos la extensión zip porque sabemos que ese es su contenido por la cabecera PK.

bs: el el tamaño del bloque para el siguiente argumento, en este caso 1 Byte
skip: le decimos que “esquive” 160034 bloques ( es decir, bytes tal y como hemos indicado con el parámetro anterior) y que escriba en el fichero de salida a partir de esa posición.

El resultado es un fichero llamado oculto.zip, que si analizamos con unzip nos confirma que estamos en lo cierto en cuanto al contenido oculto:



Descomprimimos con unzip oculto.zip y comprobamos que es un fichero de MS Word comprimido en un zip. ¡Hemos encontrado el contenido oculto de la primera imagen!

Ahora vamos a por la segunda, la llamada lindogatito.jpg que stegdetect nos ha dicho que lleva oculta añadida al final otra imagen.

Procedemos de la siguiente manera que con la primera usando hexeditor:



Encontramos el final del jpg en la posición 0x14315 que indica que su longitud en decimal es de 82710 Bytes (14316 hex).

Procedemos con dd igual que anteriormente

dd if=lindogatito.jpg of=oculto.jpg bs=1 skip=82710

Y comprobamos que, efectivamente, había una imagen oculta tras el lindo gatito: 




Como no queremos fiarnos de que detrás de esta imagen oculta haya algo mas ejecutamos de nuevo stegdetect para oculto.jpg, obteniendo un resultado negativo:



Preparar el juego pruebas para hacer esta práctica es sencillo, en cualquier caso, aquí tenéis las imágenes contenedoras con datos ocultos.




Conclusión

Como veis, ocultar información usando imágenes como contenedores, para por ejemplo sacar información de una empresa…y con esto no quiero dar ideas…es muy sencillo, pero también lo es detectarlo y extraer la información oculta con unos conocimientos mínimos de seguridad informática. En el caso de análisis forenses, no hay que descartar nunca que detrás de una foto inocente haya algo más…no todo es lo que parece.

Hay herramientas, como steghide, que permiten una ocultación cifrada y una extracción de la información mucho más sencilla, pero eso ya es otra historia…

domingo, 29 de mayo de 2016

Instalando el SO en tu nueva Raspberry

Autor: @dormidera

Últimamente me he encontrado a mucha gente que con unos conocimientos básicos en informática, les echa para atrás la idea de adquirir una RaspberryPI por la instalación inicial, en este post vamos a explicar como grabar una distribución Linux en una tarjeta SD para nuestras RasPi.

Para empezar debemos descargar un sistema operativo adaptado a nuestra RasPi.
Tenemos muchos tipos de sistemas orientados a diferentes servicios, desde emuladores para videojuegos, para el control de redes, pentesting, etc.

Nosotros vamos a instalar la distribución mas estable, Raspbian, es una versión de Debian, para RaspberryPI. La podemos descargar desde la web oficial.



Una vez descargada la imagen ISO de nuestro sistema operativo tendremos que grabarla en nuestra tarjeta SD. Para grabarlo vamos a usar un programa bastante sencillo, Win32DiskImager.



Después de esperar unos minutos ya tendremos grabada la imagen ISO en nuestra tarjeta SD, ya tendríamos lista la tarjeta para nuestra Raspi.


Solo tendremos que encenderla y seguir los pasos para la instalación del sistema operativo y listo!

Aquí os dejo varios enlaces oficiales de distintos sistemas operativos para RaspberryPI:

Sistemas operativos usuario
Sistemas operativos redes
Sistemas operativos emuladores
Pentesting

sábado, 28 de mayo de 2016

Radio Warfare, segundo sábado hacker del la UNED de Guadalajara


David Marugan arrancando con el taller de Radio Warfare

Autor: @honey_sec

El pasado sábado 28 celebramos el segundo Taller de la serie "Sábados Hackers" organizados por Honey SEC y la UNED de Guadalajara. En esta ocasión disfrutamos de un ponente de lujo, David Marugan que nos deleito con un taller de Radio Hacking de los que no deja indiferente a nadie.

Destacar que esta vez el taller ha tenido un gran éxito dado que nos quedamos sin sillas y la organización tubo que habilitar 9 plazas más de las previstas inicialmente. Incluso hubo sobornos y se llego a pagar con un jamón de pata negra para asistir al evento.

@karlagmu sobornando a nuestra tesorera a lo Barcenas style

El taller comenzó con un repaso a la historia de la radio y a los pioneros que buscaron los limites del invento de Marconi, rápidamente David Marugan nos guió en los distintos usos que se dan a las ondas de radio en nuestros días. Satélites, Estaciones de números, distintas frecuencias utilizadas por diferentes organizaciones.

@RadioHacking repasando los distintos satélites que se pueden capturar desde SDR
Uno de los puntos que más gusto a los asistentes fue las distintas posibilidades que hay en la captura de emisiones desde Satélites o la Estación Espacial Internacional. La captura de imágenes meteorológicas, la captura de mensajes de texto o cifrados y otros contenidos es posible a través de SDR y algunos software adicional que permite la composición de las imágenes o la transformación de las emisiones a texto.

Tras el descanso para reponer fuerzas, David Marugan repaso lo necesario para iniciarse en el mundo de la Radio vía SDR. Nos mostró las distintas opciones de hardware que tenemos y nos aconsejo algunos dispositivos de cara a iniciarse en este mundo. También se repaso el Software necesario para utilizar los dispositivos SDR, mostrándonos distintas opciones y posibilidades. 

Y poco a poco y entre cacharro y programa llegamos a la parte practica del taller donde vimos distintas opciones de captura vía SDR y probamos el ultimo "juguete de Marugan" para cerrar el taller.

Desde Honey SEC dar las gracias a David Marugan por su excelente taller, la verdad es que nos dejo a todos con ganas de saber mucho mas de este apasionante mundo de la Radio que tiene una gran importancia pero que en materia de seguridad va siendo relegado por las problemáticas de Internet, redes y sistemas, pero que esconde grandes misterios y es un escenario de batalla cotidiano que no debemos perder de vista.

Por ultimo y como siempre, la jornada se cerro con el típico post-taller donde continuamos con los debates surgidos en el taller.

Comida Post-Taller

Dar las gracias a los asistentes y emplazarles al próximo taller que se celebrara el día 18 de junio, nos vemos ...







martes, 24 de mayo de 2016

Un grupo de amigos que quiere acercar la seguridad a quien más lo necesita, #X1REDMASSEGURA (Primera Parte)

Por Jacob Peregrina (@tecnoiuris_es)

Desde hace un tiempo las abejitas revoloteábamos nerviosas por el panal, se acercaba el día en el que “El Patriarca” nos había convocado a la reunión anual con “La Familia”, una cita que a todos nos hace especial ilusión y anhelamos durante todo el año.

El Patriarca
Y llegó el día.

HoneyBus
El HoneyBus nos estaba esperando y, zumbando, llegamos a la Escuela Técnica Superior de Ingenieros de Telecomunicación donde habíamos sido citados. Nada más bajar del HoneyBus allí nos estaba esperando y recibió la familia de #X1REDMASSEGURA, Angelucho, Virtu, Juan Antonio Calles, Patty, Blanca, Longinos, Josep Albors, Olga… nos esperaban dos apasionantes días por delante.

Tras la inauguración de las jornadas dieron comienzo las ponencias, en esta tarde de viernes, un poco más institucionales.

Abrió fuego Dª. Mar España, Directora de la Agencia Española de Protección de Datos, quien nos comentó las acciones que realiza esta institución de cara a la protección de nuestra privacidad y la especial protección y prevención que respecto de los datos de menores se ha de llevar a cabo.

Dª. Mar España, Directora de la Agencia Española de Protección de Datos
Posteriormente asistimos a una mesa redonda en donde Fiscalía, Grupo de Delitos Telemáticos y Unidad de Investigación Tecnológica del Cuerpo de Policía Nacional, principales actores en la lucha contra la delincuencia informática nos dieron un repaso a como ellos ven la situación actual en su día a día.

Mesa Redonda Fisacalía, Guardía Civil y Policía Nacional


Momento en el que @Ciberpoli se da cuenta que tendrá que
comer trillones de ganchitos para llegar a tener tantos pines
Previo al descanso, Chema Alonso disertó sobre lo que son realmente los hackers, gente que pone pasión a conocer cómo funcionan realmente las cosas.

Maligno
Y así, sin darnos cuenta, llegó la hora de tomarnos una buena mariscada.

Gracias @pat_rada por lo bien que nos cuidaste
Repuestas las fuerzas, el Teniente Coronel José Luís Quintero del Mando Conjunto de Ciberdefensa nos explicó qué es y qué es lo que hace nuestro ciberejército.

Mando Conjunto de Ciberdefensa
Para finalizar la jornada, Ruth García de la Oficina de Seguridad del Internauta – OSI (INCIBE) nos mostró los servicios y herramientas que ofrece así como los distintos programas que estás llevando a cabo como el de Cibercooperantes.

Ruth García - OSI (INCIBE)
 Programa Cibercooperantes
Pincha sobre la imagen si quieres conocer el Programa Cibercooperantes

Si quieres ver la jornada completa a continuación te dejamos el vídeo.



sábado, 14 de mayo de 2016

MALVERTISING, ofertas con veneno




Autor: @RaulRenales

Recientemente he tenido que seguir algunos casos de infecciones y al tener que explicarlos, incluso entre gente entendida en materias de seguridad, me he dado cuenta de lo desconocido que es el Malvertising. Ese es el motivo de que escriba este post.

Malvertising es la técnica por la cual se utilizan los anuncios insertados en las páginas web (Gestionados por adservers) para la infección de los equipos que los visualizan.

He de decir que las plataformas de advertising son un canal estupendo para la propagación de estos anuncios, principalmente por la capacidad de propagar los anuncios a millones de potenciales víctimas con una precisión milimétrica en el filtrado del objetivo, siendo el esfuerzo mínimo y evitando filtros de canales habituales como en los casos del correo electrónico. Otra de las ventajas es que al final los anuncios son incluidos en páginas con gran reputación con lo que normalmente los usuarios aceptan clickar en los anuncios sin muchas precauciones.

Esta técnica esta siendo utilizada por grupos de ciberdelincuentes como medio rápido de propagación de su malware, principalmente utilizando las configuraciones de "Oferta en tiempo real" o "Configuraciones en tiempo real" que algunos de los adservers poseen.

Incluso el sistema puede estar siendo utilizado por algunos Estados/Empresas para inundar el mercado con estos anuncios, incluso afinando los anuncios para conseguir APTs, según evidencio la empresa estadounidense Invincea a lo largo del año 2014 en varios artículos. (Ver)

En las publicaciones de la empresa estadounidense, se dio a conocer como se utilizaban las configuraciones en tiempo real para llegar a usuarios concretos de un área geográfica o empresa con el objetivo de la obtención de información relevante para la empresa o de su producción. El objetivo no era llegar al mayor número posible de víctimas, el objetivo era concretar mucho el grupo de víctimas.

¿Cómo Funciona el Malvertising?

Ejemplo detectado por ESET SmartSecurity


El proceso para el uso de esta técnica puede parecer muy elaborada, pero con la suficiente automatización en los primeros pasos es posible utilizar de manera sencilla esta técnica para llegar a un gran número de personas o incluso para focalizar los ataques sobre un grupo reducido de ellas.

Así se crea una campaña de Malvertising:

Paso 1: Creando una identidad.
Elaborar una buena imagen corporativa de una empresa ficticia con presencia en Internet. Aquí el diseño es vital, un buen diseño puede ayudar mucho a esconder las intenciones de la web. Recordemos que el objetivo no es solo engañar al usuario final, si no que los filtros de los Adservers y moderadores de los mismos revisaran nuestra web y tomaran decisiones sobre si aceptar o no las campañas de adwords. Recordemos que no solo de web viven las empresas, completar con vivos y movidos perfiles de redes sociales puede ayudar en la credibilidad de la empresa ficticia. En este punto lo ideal es no escatimar.

Paso 2: Creando las Landing Pages.
Utilizar landing pages ligadas a la imagen como medio de infección a los usuarios. Inicialmente las landing pages que deseamos utilizar como señuelo no deben ser capaces de infectar a los usuarios, esto nos ayudara a pasar los filtros del adserver. 

Paso 3: Generar las campañas.
Generar las campañas de anuncios en los adservers, elegir bien el objetivo utilizando sus filtros geográficos, por edades, sexo, intereses, etc ... la capacidad de poder afinar es increíble. Incluso se puede llegar a hostigar a los trabajadores de una empresa conociendo la ip publica de la red de su oficina y haciendo unas pocas indagaciones.

Paso 4: Envenenar las Landing pages. 
Tras la activacion de las campañas, no tiene por qué ser inmediato, modificaremos las Landing Pages e incluiremos el exploit que queramos utilizar en cada caso, como os podéis imaginar existen gran variedad de ellos dependiendo de cuál sea nuestro objetivo. Normalmente las Landing Pages infectadas no deben utilizarse más de 2-3 horas con el objetivo de no comprometer las campañas aprobadas por el adserver.

Paso 5: Aumentando la Puja.
Paralelamente a la activacion de las landing pages con los exploits, se debe aumentar la puja por los clicks (real-time bidding), con el objetivo de que el adserver tenga un incentivo para publicar nuestro anuncio en el mayor número de sitios posibles y en las mejores posiciones.

Paso 6:  Revisar efectividad
Con la puja alta en marcha, la campaña en funcionamiento y las landings infectadas, lo único que hay que hacer es esperar los resultados y una vez quemada la efectividad de los anuncios o de las landing pages, se repite el proceso y se inician nuevas campañas.

Extra-Ball: Super Anuncios. 
Existe también la opción de generar anuncios que incrustan piezas de código Html, Javascript o applets de java o insertan flash, estos anuncios pueden servirnos para saltarnos el paso de mandar a los usuarios a las landings pages y realizar ataques del tipo "Drive by Download".


Cómo protegerse de Malvertising


La idea principal de cara a protegernos es entender que este problema es un problema netamente que afecta al navegador web, con lo que debemos revisar y mejorar la seguridad del mismo. La idea es implementar las siguientes medidas:

  • Activar los Click-to-Play Plug-ins: Estos Plugins nos protegen dado que cuando visitemos cualquier página que contenga un objeto Flash o Java, propios de los anuncios de publicidad, éste no se ejecutará de forma automática como ocurre por defecto y por lo tanto con habilitar esta opción estaremos protegidos de gran parte de este tipo de ataques.
  • Uso de herramientas especializadas en la detección. Una de ellas es Malwarebyte Anti-Exploit.
  • Actualizar el navegador siempre.
  • Todos los plugins del navegador deben estar actualizados a la última versión.
  • Desactivar o desinstalar los plugins que no necesitemos y normalmente no utilizamos.
  • Evitar usar versiones de navegadores que no usen sandboxing: El sandboxing es un sistema que permite aislar los contenidos web del resto del equipo, de tal manera que se pueden minimizar los efectos y estudiar los comportamientos que realizan los malwares descargados.

Espero que ahora tengamos algo más de conocimiento sobre este tema ... en próximas entregas hablare de como a través de la configuración de las campañas podemos afinar milimetricamente los targets. Os espero ....

lunes, 9 de mayo de 2016

(IN) Seguridad en códigos QR




Autor: Toni Escamilla (toespar.me)
Twitter: @toespar


Según Wikipedia, un código QR es un módulo para almacenar información en una matriz de puntos o en un código de barras bidimensional. Inicialmente se creó para registrar repuestos en la fabricación de vehículos, pero un tiempo después y gracias al auge de los Smartphone su uso se ha extendido y hoy en día los podemos encontrar en multitud de áreas como envases alimentarios, tarjetas de presentación e incluso en carteles de información, entre muchos otros.


A diferencia de los típicos códigos de barras, que son escaneados de forma mecánica a partir del reflejo del haz de luz, los códigos QR son escaneados de forma digital mediante el reconocimiento de pequeños cuadrados blancos que posteriormente son interpretados por el procesador.



Si analizamos la estructura de los códigos QR podemos encontrar varios elementos:


La versión y el formato son importantes para que el escáner sepa el tipo de datos que se va a encontrar, así como los patrones de posición que permiten la lectura del código en cualquier ángulo. Los patrones de alineación ayudan al escáner en caso de que el QR sea demasiado grande, y los de sincronización se utilizan para determinar el tamaño de los módulos, nombre que reciben los “cuadrados” que componen la parte de los datos. Finalmente, la quiet zone es el espacio alrededor del QR que permite al escáner diferenciar el QR de los elementos que se encuentran a su alrededor.

Sin embargo, la parte que a nosotros más nos interesa es aquella referida al almacenamiento de los datos, puesto que va a ser aquí donde vamos a poder aprovechar todo el potencial del QR. Por ello, vamos a ver como la información se almacena en forma de matriz.

En los códigos QR hay diferentes formas de codificar la información, es decir, hay diferentes formas de representar un conjunto de datos como una cadena de caracteres. Los datos codificados se agrupan en conjuntos de 8, denominados codewords, que adoptan diversas formas según su ubicación y se colocan empezando por la parte inferior derecha, subiendo primero hacia arriba hasta llegar al patrón localizador, luego pasamos a la columna adyacente izquierda y bajamos.



Adicionalmente, el orden de los bits de cada codeword varía cuando el codeword se coloca hacia arriba o hacia abajo, y gracias a la información de formato, obtendremos la máscara que posteriormente aplicaremos, mediante la operación XOR, a los codewords para obtener los datos en binario.

Finalmente, una vez aplicada la máscara debemos interpretar los datos resultantes; los primeros 4 bits nos indican el modo que debemos usar para interpretar los datos y nos condicionará para realizar la agrupación de bits. Una vez realizada dicha agrupación, el siguiente bloque nos indicará la longitud del mensaje.

Ahora que ya conocemos como funciona un código QR, ¿podemos aprovecharlo como vector de ataque? Lo dejamos para el siguiente post que este ya se está extendiendo demasiado ;) 

lunes, 2 de mayo de 2016

Gran participación en el taller inaugural de los “Sábados Hacker de la UNED”

Autor: Honey_SEC

Este sábado ha tenido lugar el primero de los talleres que bajo el lema “Sábados Hacker de la UNED”, la Asociación de Seguridad Informática de Guadalajara Honey_SEC junto a UNED Guadalajara tiene programados para su realización todos los últimos sábados de cada mes.




Alrededor de 25 personas nos dimos cita para la realización del taller que bajo el título OSINT Y HACKING CON BUSCADORES impartió Miguel Cotanilla [@CitiTanuS] Graduado en sistemas de Telecomunicaciones e Ingeniería técnica de Telecomunicación, Sonido e Imagen. Trabaja con sistemas OpenSource y es Co-organizador de las jornadas de seguridad MorterueloCON.

En la primera parte del taller, en un ambiente muy distendido que propiciaba la interacción entre asistentes y ponente, Miguel Cotanilla de una forma muy didáctica y amena expuso cómo en la Red existe una ingente cantidad de datos “disponibles de manera pública” a partir de los cuales se puede obtener información de gran valor utilizando técnicas como OSINT.

OSINT (Inteligencia de fuentes abiertas u Open Source Intelligence”) hace referencia al conocimiento recopilado a partir de fuentes de acceso público y tal y como Miguel Cotanilla nos demostró existen multitud de ellas a partir de las cuales se puede obtener información relevante:

  • Medios de comunicación: revistas, periódicos, radio, etc.
  • Información pública de fuentes gubernamentales.
  • Foros, redes sociales, blogs, wikis, etc.
  • Conferencias, simposios, «papers», bibliotecas online, etc.
 
En este punto se abrió un interesante debate sobre si la información que aparece en la Red es pública, publicada y/o accesible y las implicaciones que estos matices tienen en la legalidad de la captura y uso de la misma mediante su procesado y análisis.



Una vez mostradas las fuentes, Miguel indicó algunos ejemplos de la utilización y aplicación de las técnicas OSINT:

  • Conocer la reputación online de un usuario o empresa.
  • Realizar estudios sociológicos, psicológicos, lingüísticos, etc.
  • Auditoria de empresas y diferentes organismos con el fin de evaluar el nivel de privacidad y seguridad.
  • Evaluar tendencias de mercados.
  • Identificación y prevención de posibles amenazas en el ámbito militar o de la seguridad nacional.
  • Como aspecto negativo, es utilizado por cibercriminales para lanzar ataques APT y «Spear Phishing».

Casi sin darnos cuenta llegó el momento del descanso y los asistentes, gracias a la pastelería La Espiga de Oro de Alovera, pudieron coger fuerzas para afrontar la segunda parte del taller que fue eminentemente práctica.


Ya en esta segunda parte Miguel mostró y los asistentes pudimos comprobar en nuestras propias máquinas cómo usando los buscadores habituales (Google, Bing, Yahoo, Ask) o alguno más especializado (Shodan) e introduciendo ciertos parámetros podemos obtener resultados asombrosos, incluso para el ponente.

Igualmente puso de manifiesto y enseñó herramientas que de una manera más o menos automática permiten la recolección de grandes cantidades de información relevante de un dominio (emails, subdominios, host, nombres de empleados, puertos abiertos, etc.) o de una persona mediante la obtención de la información contenida en sus diferentes perfiles de redes sociales como Facebook, LinkedIn, Flickr, Instagram y Twitter  que permiten, por ejemplo, localizar lugares y sitios web visitados con regularidad, amigos online, etc y mostrar los datos en Google Maps.

Y de este modo y casi sin darnos cuenta llegamos al final del taller del primer “Sábado Hacker de la UNED”, un éxito de participación que sin duda se lo debemos a que contamos con un ponente de lujo.


Dejamos aquí la presentación por si te resulta de interés:



Terminó el taller, pero no el hacking…



Hasta aquí podemos leer…

Desde Honey_SEC queremos dar las gracias a UNED Guadalajara por el apoyo que nos está dando en la celebración de estas actividades, a Miguel Contanilla “Cota” por su generosidad al regalarnos su tiempo y conocimiento de forma totalmente altruista y a todos los asistentes que son los que hacen que merezca la pena la organización de estos eventos.

A todos os emplazamos para el próximo “Sábado Hacker en la UNED” que celebraremos el último sábado del mes de mayo y del que os ofreceremos más detalles a través de la web de la asociación (www.honeysec.info) y de nuestras redes sociales @Honey_SEC