Estimados amigos de Inseguros !!!

En el episodio de hoy quería reflexionar con algunos conceptos que si bien no están ligados directamente con la ciberseguridad o los sistemas, ocurrió después de una situación que vi en las redes sociales, esta sí relacionada con la ciberseguridad, más bien con un famosillo...

Sin darle importancia al por qué, me gustaría expresaros algunos pensamientos relacionados con la sociedad y lo que se entiende por triunfar. Parece que estamos obligados a triunfar en la vida, lo vemos constantemente en diferentes ámbitos y aunque me considero una persona involucrada con la mejora constante y el crecimiento (físico? xD ) , entiendo que no siempre en la vida se triunfa, o no al menos, de la manera en la que parece que debemos triunfar. Y empiezo con hilos Random...

Triunfar en los videojuegos vs el futbol.

Si estás en edad de criar, y tienes pequeños...o medianos...entre los... 8 y 18? conocerás el fenómeno Gamer/youtuber. Cuando era crío, los críos normales soñaban con ser futbolistas. No era algo muy malo, ya que aunque seas del Mandril o del Barça, del Boca o de River, que tu hijo quiera ser deportista no están malo. Lo que no es permitia es que dejarás los estudios porque querías ser futbolista. Tus padres te llevaban a entrenar, algo positivo, pero al final había un veredicto. Con 12/14 años harías unas pruebas para un equipo, seguramente el principal o secundario de tu ciudad, con suerte, y en ese momento el niño recibía el inevitable jarro de agua fría. Si valías seguías, si no, claramente entendías que si, que el fútbol como deporte estaba bien ( o no, depende si ya habías probado el alcohol y los morreos xD) pero que no tenías el talento que había que tener para triunfar, para dejarte los estudios ( lo que queríamos casi todos los niños) y dedicarte a tu pasión.

Vamos a poner el caso de ahora mismo. Los niños ahora por lo general no quieren ser futbolistas, ahora quieren ser gamers. Quieren aunar lo que les gusta, jugar el conter, al maincraf, al gou, al lol ( SIII, daña la vista, lo se !! ) Tengo que reconocer que como viejuno que soy me maravilla eso, porque FLIPO con que la gente gane pasta por jugar, pero bueno, existe un GRAN mercado profesional en la industria del videojuego. PERO el problema para el educador, para los padres que tienen que decirle al niño "déjate el juego y estudia !!" se enfrentan a que realmente el niño puede argumentar que es su pasión, su afición, su talento, que es muy bueno, que en su servidor/partida/grupo de amigos... es un máquina, y que hay niños como él ganando millones de euros... Es distinto aterrizar en la realidad con un entrenador de fútbol que no te ficha, a este planteamiento. Lo digo porque aunque no es mi caso, me consta que es algo que está ocurriendo.

Pero volviendo al caso inicial, al triunfar, qué es realmente triunfar en los videojuegos? Ser profesional? Tengo amigos de más de 40 años jugones, muchos de vosotros, que lo mismo nunca han tenido esa pretensión profesional, pero que disfrutan de sus videojuegos. Es su hobby. Su entretenimiento, su pasión. ellos no han triunfado?

Vamos al caso del fútbol. Uno de mis amigos en concreto le gustaba mucho. Llegó a algún club no recuerdo si 3 regional, cobrando 1500euricos y dedicando sus primeros años laborales en el fútbol, pero no llegó a más. Sin embargo, hoy en día tiene un físico envidiable. Sigue jugando al fútbol un par de días a la semana, y encima entrena a unos chavales en el barrrio donde nacimos. Esta persona ha triunfado? tiene un hobby sano, ayuda a los jóvenes, es ordenado y disciplinado, creo que SI ha triunfado, sin llegar a jugar en el Real Murcia o en Valladolid...

El cantante de rock...o rap...

Otro ejemplo que comentaba con un buen amigo es el del rap. Desde que era bien crío me moví en esos ambientes de hip-hop, graffitis y primera escena del rap en España. Mis amigos le tiraron mucho llegando a grabar varias maquetas en la época de las TDK y eran bastante buenos. 

Cuando comenzábamos en esto, yo incluido, nos codeamos en los conciertos con gente como Kase-o, Zatu de Sfdk, CPV, etc... con lo que había... buenos y malos nos juntábamos, éramos los que éramos...

Esto que te mencionen han triunfado en la vida, han conseguido desarrollar su profesión en la industria musical, llegando a ser de los mejores de España y habla hispana. Con sano envidia vemos a estas estrellas como han triunfado, OJO, gracias su esfuerzo y talento, merecidísimo !!!

Pero le comentaba a mi amigo, que era de los que en los 90 empezó con el hip hop en España, que él también había triunfado. Con 49 años sigue haciendo ritmos, ahorrando las cuatro perras que puede para sus aparatos. Sigue en el local de ensayo con los 4 amigos juntándose a cantar. A grabar temas, maquetas que duran 5 años en salir porque nunca están suficientemente bien. Sin cantar en conciertos, sin fans, sin el estímulo que supone que te paguen... todo lo contrario... les cuesta dinero.

Para mi eso es triunfar, porque después de 30 años, sigues haciendo lo que te gusta. No han caído en la mediocridad de tener una vida de mierda, trabajando... comprando en el Mercadona... y yendo a ver a los padres/suegros los domingos, y YA ESTÁ !!! Ojo, no me malinterpretes, no digo que eso no sea bueno, hablo de las vidas de mierda :-)

El éxito en la ciber...

Conozco muchos profesionales TOP TOP TOP que no conoces, que no han dado charlas nunca, que no han escrito un libro. Que ni tan siquiera trabajan en ciber algunos, u otros que lo hacen pero no lo hacen para grandes empresas mundiales, pero tienen el mejor trabajo del mundo...

Como he comentado en muchas ocasiones, triunfar en la ciberseguridad no debe ser tu prioridad. Debe ser dedicarte en lo que te gusta, y ser lo mejor que puedas. 

Si tu meta es dar una charla en Rooted, como pudo ser la mía en un momento, qué pasa si no lo haces? qué pasa si lo haces? 

El éxito no es ser el number one en HTB, o sí, pero cuando lo consigas, tendrás que irte a otra cosa no?

YO

Quizás llevar este tipo de vida aburrida, tranquila, repetitiva, sin momentos para ti, para los demás, también sea una manera de triunfar... imagino que será según seas.

Pero me refiero a eso, a que según como seas, para ti triunfar será una cosa u otra.

En mi vida profesional, la que conocéis, he tenido varios triunfos, muchos !!! pero estos no tienen que ser los que la sociedad, o el gremio indican que "deben ser".

Qué Seguridad a lo jabalí me introdujera sin querer en las redes sociales para mi fué un triunfo.

Que me dieran el MVP de Microsoft fué un triunfo.

Que la gente de Navaja Negra me concediera el honor de dar mi primera charla en este mundo fue un fucking honor.

En cada CFP que he echado en cada conferencia que me has visto ha sido un pedazo de triunfo.

Tener un trabajo que me gusta asociado al estilo de vida que me permite, es un triunfo, quizás, el que más.

Que me leas, que le des a un me gusta, que me comentes, eso no es un triunfo, es más, es una necesidad !!! día a día me motiva a ser mejor persona pensar que hay 10 personas que me leen.

Para mi personalmente no es triunfar trabajar en una empresa que me obliga a currar 50 horas, aún cuando no quiero, por ser una grande, con nombre, o con un cargo importante.

No me importa ser Head, Manager o King.

No me importa llevar un coche, casa, ropa... acorde con lo que se supone que debe conducir, vivir o vestir. 

Es muy importante en la vida saber gestionar las derrotas, porque suelen ser más que las victorias, y sin ellas, estas últimas carecerán de valor.

Es importante conocer nuestros límites, y establecer metas alcanzables, y que tus triunfos los decidas tu, no una sociedad que quiere que tengas un BMW, una casa en el campo pero que trabajes de 8 a 8 y que los sábados vayas a las bodas de tus compañeros sin tener ganas...

Triunfar no es firmar autógrafos, no es echarte fotos con admiradores, ni tan siquiera si son groupies.

Triunfar no es publicar que has corrido 10 km esta tarde a un ritmo de no sé qué... o si !!!! cada uno lo decide, pero hay algunas posturas que no comparto, y por eso escribo sobre ellas.

Anímate a contarnos a todos cual serían tus triunfos, o tus mayores derrotas !!! 

Gracias por leerme, ha sido un TRIUNFO que llegas hasta aquí. xDDD

 Estimados amigos de Inseguros !!!

En el episodio de hoy vamos a ver una herramienta muy interesante diseñada por el señor https://twitter.com/ciberesponce que nos hará la vida mucho más fácil.

Es un conjunto de scripts que nos despliegan un laboratorio de pruebas en Azure con todo tipo de bondades.

Hace unos días ya presenté en Inseguros la herramienta Adaz, similar en el concepto pero muy distinta. En esta ocasión la herramienta despliega el entorno mediante el uso del Resource Manager y DSC.

Para los que no estéis muy familiarizados con DSC, comentar brevemente que como su nombre indica, es una configuración de estado deseada para nuestras máquinas, físicas o virtuales. Imagina una consultora que instala dominios en clientes. Instalar un DC al final siempre son los mismos Roles y configuración. Creando una plantilla DSC podemos automatizar el despliegue de los mismos, dando respuesta al término de moda "infraestructura como código".

Lo interesante de este set de scripts y configuraciones radica en que se provocan fallos conocidos, algunos más sencillos que otros, para que el defensor entrene el ataque y la detección y defens.

Os pongo un ejemplo de un setting:

Para hacer el procedimiento voy a usar el AZ cli desde la web. Mucha gente no lo usa y se lia conectando el cliente azure con powershell...vamos... por usar solo la web.

New-AzResourceGroup -Name laboratorio2

West Europe

git clone https://github.com/microsoft/DefendTheFlag

cd ./DefendTheFlag/

New-AzResourceGroupDeployment -ResourceGroupName laboratorio2 -TemplateFile .\azuredeploy.json

Una de las cosas que me gusta es que tiene fases o stages, en las que podemos hacer un snapshot en cualquier momento y revertir el estado de la máquina, por ejemplo, si estamos dando formación y queremos reiniciar las configuraciones, o si tenemos algún problema después de configurar cualquier elemento.

PS C:\Users\Administrador\DefendTheFlag\Stage > .\New-BackupVmsToDisk.ps1 laboratorio2

[!] Starting backup process for laboratorio2, Location: East US 2

[!] Stopping VMs to prepare them to be Snapshotted

        [ ] Stopping VM: AdminPc

        [ ] Stopping VM: AdminPc2

        [ ] Stopping VM: Client01

        [ ] Stopping VM: ContosoDc

        [ ] Stopping VM: Ubuntu-Katoolin

        [ ] Stopping VM: VictimPc

Id     Name            PSJobTypeName   State         HasMoreData     Location             Command

--     ----            -------------   -----         -----------     --------             -------

1      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

2      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

3      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

4      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

5      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

6      Long Running... AzureLongRun... Completed     True            localhost            Stop-AzVM

[+] All VMs Stopped... proceeding

[ ] Taking snapshots of 6 VMs

        [AdminPc] Taking snapshot

Sin duda un gran recurso para aprender, pero no solo sobre este laboratorio, sino para crear nuestra infraestructura como código personalizada, bien sea para laboratorios, producción, o para hacking...

Gracias por leerme !!!

 Estimados amigos de Inseguros !!!

Hace 4 años de esta entrada en el blog de Eset, parece que fué ayer. En su momento describió 50 blog en castellano que solía leer y me gustaban. 

El mundo del blog ha cambiado, creo que la manera de publicar sufrió un cambio importante y a la vez bueno, y es que el "conocimiento" o mejor dicho, la predisposición a compartirlo ya no se aglutina en unos pocos blogs. Es muy difícil seguir el ritmo de ir investigando, creciendo, y encima publicandolo para el público. 

He oído mil veces lo de "escribo para devolver a la comunidad lo que me aporta" . En versión charla, proyecto github o similar, pero el concepto de comunidad siempre ha sido ese.

Ahora la realidad es que hay muchas fuentes de información, ya no miras periódicamente tus blogs favoritos... si... pero aparece un blog con dos artículos muy buenos. Quizás nunca más el autor vuelva a escribir, pero da igual, tu te zampas sus dos artículos, aprendes y a otra cosa.

La globalización de internet tiene esto de bueno, que el conocimiento o la información aparece en cualquier lado. Buena o mala es otra cuestión, pero eso es otro tema en el que no entro, no al menos hoy.

Para más cambio, ha cuajado el fenómeno CTF de tal manera que los mejores blogs del momento, los más técnicos, los más seguidos, sospecho que son los famosos "write Up" o resolución de retos y máquinas. Una fuente de información brutal, pero si sabes leerla... 

No basta con aprender el comando del "nmap". Sino que debes buscar en paralelo la información que subyace, lo que pasa debajo, la teoría...los fundamentos... pero esto ya es responsabilidad del lector, no del escritor.

Una pena que muchos de mis ídolos, de mis referencias, de mis amigos que escribían, que aparecen en este listado, ya no lo hagan, pero espero que estas reflexiones los hagan animarse.

Un 50% de blogs no siguen, pero lo bueno es que hay cientos de nuevos blogs, proyectos, publicaciones diversas que enriquecen a esta comunidad. Si algo tiene distinto el hacking y la seguridad informática es eso, que el aporte no solo es de los fabricantes, sino de los investigadores, sufridores, estudiantes, profesionales, etc.

Respecto a los que siguen, mis mas sincera felicitaciones y enhorabuena. Esto es un trabajo que hacemos para todos, por el bien de todos, y me rindo a sus pies.

Una vez hechas estas reflexiones, he copiado y pegado el listado para hacer un repaso a qué blogs de los que mencionaba hace 4 años siguen o como se encuentran.

• 4null0.blogspot.com.es: Información de perfil técnico. Actualizado recientemente y con una frecuencia baja. Sigue en la lucha con artículos muy interesantes. Mi enhorabuena crack por el esfuerzo. @4null0
  
  
• bitacoraderedes.com: Un blog de contenido generalista, orientado a los sistemas en general. Un poco de hacking, un poco de Vmware, un poco de Linux. Una gran apuesta informativa. La pena es que el autor no tiene el tiempo que nos gustaría para dedicarle tiempo, espero que se anime y siga con estos artículos tan buenos. Go Go Go !!! DOWN
  
  
• blog.alguien.site/: Buena página con información te alto valor técnico. Procesos y herramientas de seguridad ofensiva puestos a nuestra disposición por el autor. Tiene un ritmo de actualización bueno. Gran trabajo.
  
  
• blog.pepelux.org/: Si el tamaño no importa, este es el blog !!! xD. El Sr Pepelux escribe poco, muy poco, nos gustaría uno cada día !!! pero los post que escribe son buenísimos. Descripción de concursos CTF y la mejor información sobre seguridad Voip que puedas leer en castellano. Uno de los pioneros en el mundo de la seguridad informática hecha blog. Gracias por tu trabajo !!! Mi amigo al otro lado del teléfono mantiene el blog con pinceladas técnicas escasas para lo que nos gustan, pero sigue en la brecha con magníficas charlas y proyectos de código. Dale caña PEPE !!!
  
  
• blogs.itpro.es/alez/: Uno de los expertos MVP de Microsoft Windows 10 es su área de trabajo. Si quieres conocer lo último del último sistema operativo de Microsoft este es tu blog. Flojo Flojo amigo, a ver si nos espabilamos que molas mucho !!! xD
  
  
• conexioninversa.blogspot.com.es: Un experto como el Sr. Pedro Sánchez nos trae su blog con información de todo tipo. Todo tipo de nivel técnico y de divulgación en general. Uno de los más reconocidos profesionales en el mundo de la redes y conferencias.
  
  
• elbinario.net/: Voy a denominar esta página, con todos mis respetos, el Freakismo de Linux. Un ritmo bueno de publicaciones sobre todo tipo de herramientas relacionadas con el software libre. Algunas de seguridad, otras de video juegos, otras de herramientas de productividad. Una buena fuente de información para el mundo linux en general.
  
  elblogdeangelucho.com/: Angelucho y su blog son el máximo exponente en castellano en la lucha x1 red más segura. Sus contribuciones son del tipo divulgativo, concienciación, y sobre todo, de carácter humano. Como padre, compañero de profesión, como profesor, Angelucho es sinónimo de carisma, respeto y admiración por toda la comunidad. Gracias SEÑOR.
  
  
• enfoqueseguro.com/: Su director Rafael Núñez describe el blog como: “Enfoque Seguro nace como una iniciativa para promover de forma independiente la seguridad sobre Internet con la finalidad de convertirlo en un lugar más seguro.” Todo un portal con contenidos de distinta categoría. Muy interesante para tener una visión general del estado de la seguridad sin entrar en aspectos técnicos.
• hacking-etico.com/: Los amigos de Córdoba Edu, Miguel, Manolo y el resto de contribuciones crearon hace muchos años ya un espacio muy interesante divulgativo con información de primera calidad. Tenemos para todos lo niveles y con un estilo impecable. Uno de los favoritos para mi y para la comunidad. No hay nada más que ver sus presentaciones en eventos, lleno hasta la bandera. SVT Cloud es la empresa que soporta y patrocina el blog. Muy buen trabajo amigos !!!
  
  
• intrusionlabs.org: Aunque no actualizan todo lo que me gustaría, estos tipos escriben sobre procesos y herramientas ofensivas de manera muy interesante. De gran valor técnico. Espero que no dejen el proyecto porque pintaba muy bien. Ánimo señores !!!
  
  
• http://infostatex.blogspot.com.es: Uno de los blogs en castellano con más actividad del panorama. Grandes artículos técnicos y de muy buen nivel. Gracias por tu trabajo !!!
  
  
• kinomakino.blogspot.com.es/: Mi blog personal, sin descripción XD
  
  
• la9deanon.tumblr.com: La 9 de anonymous es una persona, personas, colectivo, nadie lo sabe. Solo sabemos que escriben sobre temas políticos relacionados con la seguridad, el hacktivismo, la defensa de los derechos en la red. Nos cuentan sus intrusiones en empresas y organismos y nos detallan la parte que nos gusta, la técnica. Uno de los mejores blogs de seguridad en castellano sin duda. Espero que sigan muchos años.
  
  
• securitcrs.wordpress.com: Noticias y divulgación a partes iguales, recomiendo este blog para los curiosos de la seguridad informática.
  
  
• seguridad-de-la-informacion.blogspot.com.es: Uno de los grandes del panorama blogger. Mas seguridad de la información que seguridad informática, es uno de los referentes en castellano para estar al día en esta disciplina. Si eres un amante de las ISO, legislación, frameworks de gestión, o simplemente un apasionado por la seguridad, este blog te encantará.
  
  
• seguridadyredes.wordpress.com/ El blog de Alfon es el mejor blog de seguridad perimetral/defensiva que existe bajo mi punto de vista. Me gustaría tener un artículo suyo todos los días. Cuando quieres estudiar materias como Bro, IDS, Snort, Análisis de PCAP y cosas por el estilo, tranquilo que Google te llevará a su repositorio de conocimiento. Un grande entre los grandes.
  
  
• thehackerway.com/ Si el anterior blog era mi favorita en esa materia, el blog de Daniel  es mi favorita en materia de hacking en general. Será por los perfiles profesionales, pero sin duda, me encanta su información ofensiva. No escribe lo que los lectores le demandamos, pero seguro que va por épocas y cualquier día retoma esos artículos de hacking que tanto nos gustan. No obstante, si quieres aprender con el propietario dispone de cursos online de formación muy interesantes aquí.
  
  
• www.0verl0ad.net/: Uno de mis favoritos. Los señores @aetsu y @TheXC3LL nos obsequian con artículos y herramientas creadas por ellos para sus proyectos. No actualizan muy a menudo y su contenido es técnico de nivel alto.
  
  
• www.1gbdeinfo.com/: El Sr. @1gbdeinfo es una de las personas más queridas en el mundillo de los blog. Con su aportación no muy técnica, Roberto realiza una magnifica labor de concienciación e introducción a contenidos técnicos de nivel bajo y medio. Sigue así y no dejes el blog !!!
  
  
• www.aratech.es: Oscar @Navaguay nos presenta su proyecto personal de tierras mañanas. Con blog contenido técnico sobre sus investigaciones, herramientas y procesos ofensivos y defensivos.
  
  
• www.areopago21.org: Voy a tomar la descripción por sus propias palabras: Blog colaborativo dedicado a compartir ideas sobre CiberGuerra, CiberTerrorismo, CiberInteligencia y Tácticas de Hacking. Poca actualización pero contenidos muy interesantes. Para todos los públicos.
  
  
• www.blackploit.com/: El Sr. @Blackploit hace un tiempo que no actualiza, pero este blog con contenido técnico medio y ofensivo era uno de los favoritos de la gente que empezaba. Esperemos que se anime y retome el proyecto. Con lo que me gusta y lo poco que escribe xDDD lo dejo por los pelos, pero molaría verlo más a menudo aportando cositas.
  
  
• www.blogtecnico.net: Excelente blog técnico con herramientas y procesos de seguridad ofensiva. Muchos artículos y de buen nivel técnico.
  
  
• www.caceriadespammers.com.ar: Daniel escribe en uno de los proyectos más interesantes para mi. Escribe regularmente sobre seguridad en general, sobre sus herramientas y proyectos, congresos y cualquier cosa relacionada con la seguridad. Gracias Daniel !!!
  
  
• www.cyberhades.com/: Excelente web con información general sobre el mundo Linux, seguridad, hacktivismo y de todo un poco. Descubres cosas geniales, gracias gente !!!
  
  
• www.daboweb.com: Dabo, señor Dabo, PROFESOR DABO. Una de las figuras más auténticas y comprometidas con la seguridad informática nos ofrece un espacio con información general sobre amenazas, actualizaciones de seguridad y demás iniciativas. Muy recomendable.
  
  
• www.davidromerotrejo.com/: Otro de mis blogs favoritos. El Sr. Romero lo mismo habla de tecnología networking, que de herramientas de seguridad, virtualización. Un blog muy completo sobre sistemas en general. Muy recomendable.
  
  
• www.dragonjar.org: DragonJar no es un blog, no es una web, es una comunidad de gente trabajando por la información en nuestra materia, la seguridad informática. Grandes artículos de todo tipo de nivel. Noticias, información sobre eventos. Un clásico del panorama que nunca decae. Oleeee.
  
  
• www.elladodelmal.com: Esta web te suena? El sr. Chema Alonso es todo un referente en la seguridad informática en castellano, y su labor en los medios profesionales y generalistas lo hacen un divulgador de primer orden. El estilo de su blog es “desenfadado”, si toque personal está presente. Artículos más bien divulgativos y algunos de carácter técnico. Cuenta con una seria de contribuyentes que hacen variopinta la temática.
  
  
• www.el-palomo.com: Omar lleva informando desde 2007 en su blog sobre HACKING, en mayúsculas. No requiere mucha descripción, simplemente disfruta de sus artículos.
  
  
• www.enelpc.com: Este hombre es un autentico portento. Uno de los profesionales en su campo mas competente de la escena pública. Aunque a veces hable de temas av-not friendly XD es un blog altamente recomendado para perfiles técnicos, reversing y exploiting.
  
  
• www.flu-project.com: Los señores Juan A.  Calles y Pablo González  crearon hace muchos años ya la “bestia verde” una simpática mascota, lo de bestia es por la cantidad de buenos artículos que nos ofrecen. Un blog divulgativo, generalista, noticias y eventos, pero también con importantes artículos técnicos de alto y medio nivel. Una pena que no escriban todo lo que nos gustaría, aunque podemos leer a los autores en distintos blogs en los que colaboran.
  
  
• www.gurudelainformatica.es: Blog de carácter técnico actualizado recientemente y con una media de actividad alta. El propietario es el Sr.@Gurudelainf
  
  
• www.hackplayers.com/: El blog de Vicente Motos es uno de los más consagrados en el panorama Infosec en castellano. Un ritmo de publicaciones espectacular, una al día, o al menos los días de trabajo. Información útil de todo tipo, de todo tipo de niveles técnicos y divulgación. Noticias, contribuciones de todo tipo de escritores. La mejor web tipo noticias sin duda.
  
  
• www.israelmb.es: Israel es un tipo de Murcia, apasionado por las redes, los sistemas, muestra de ellos es los númerosos premios de fabricantes que le otorgan por su dedicación. Lecturas obligatorias si manejas cualquier de las tecnologías que trabaja. Vmware, Veeam, Microsoft, System Center, etc.
  
  
• www.jsitech.com: Mi amigo Jason Soto lleva varias iniciativas en danza, una de ellas es el blog donde nos obsequia con interesantes artículos sobre seguridad en general. Docker está siendo últimamente su área de estudio. Linux en general. Una muy buena web y muy buena iniciativa la de IT-talks.
  
  
• www.kontrol0.com: Te gusta el hacking? te gusta linux. Pulse aquí para continuar…
  
  
• www.lachisterablanca.com: Este tipo es hacker !!! Dedica su tiempo a realizar estudios, intrusiones (éticas) en empresas y nos documenta con detalle los procesos. El autor José Rabal aparece en el salón de la fama como “recompensa” en la mayoría de fabricantes y portales web.
  
  
• www.neuronasdigitales.com: Grandisimo blog del sr Chica. POCO actualizado, esto es un tirón de orejas. Actualiza !!! x
  
  
• www.pentester.es: Blog de contenido muy técnico del Sr. @JoseSelvi . Tenemos suerte de que ha retomado el ritmo de publicaciones, y en mi opinión, gran acierto el retomar el idioma castellano.
  
  
• www.sec-track.com: Un portal completo dedicado a la seguridad. Niveles de todo tipo, soluciones a retos CTF. Artículos de muy buen contenido técnico. me gusta !!
  
  
• www.securityartwork.es: Blog propiedad de la empresa S2, tiene a cientos de colaboradores escribiendo artículos de calidad. Suelen ser de índole técnica media y alta. Su Community Manager para redes sociales es el mejor del panorama. Aparte de la divulgación y el auto-bombo, nos sorprende con enlaces curiosos, simpáticos y sobre todo muy útiles. Gran página y gran trabajo de su gente.
  
  
• www.securitybydefault.com : Mayo de 2008, se juntan 4 tipos expertos en la materia y montan una de las webs más atractivas en materia de seguridad informática durante muchos años. Cada autor le aporta una visión a los artículos, desde noticias y descripción de herramientas, hasta investigaciones en profundidad, procesos ofensivos, defensivos, forense, etc. Cuentan con la ayuda de colaboradores en algunos artículos que lo que hace es enriqueces aún mas la calidad de los contenidos. Yo aprendí seguridad con SBD debería ser la camiseta de moda de este verano. Gracias señores !!!
  
  
• www.seguridadjabali.com/: Blog principalmente mantenido por Ángel, el jabato !!! Últimamente nos tiene sin mucha actividad. Nos acostumbró al cielo, y nos los quitó !!! Información para todos los públicos con enlaces de interés sobre materias de seguridad y tecnologías Microsoft.
  
  
• www.sniferl4bs.com/: Don JOSE !! Otro de los proyectos favoritos por la comunidad blogger. Un tipo que escribe sobre todo lo que pasa por sus manos en materia de seguridad. Puedes aprender sobre BURP con su excelente serie de artículos. Sus hazañas en los procesos de certificación que lleva entre manos. Un blog con contenido para todos los públicos, de todos los niveles. Eres un crack !!!
  
  
• www.spiderbond.net/: Interesante proyecto de reciente creación sobre 3 profesionales de la seguridad de variopintos orígenes. Contenido técnico bajo y divulgación. Los responsables son la Señora @sbarrera0 y los Señores @CiberPoliES y @JagmTwit.

 Estimados amigos de Inseguros !!!

Imaginas que en este post habláramos de la necesidad de usar claves seguras en el login... de más de 8 caracteres ... no  !!! este post no va de eso.

Vamos a hablar de algunos aspectos de los mecanismos de autenticación básicos de los sistemas Microsoft que por comentarios y experiencia sospecho que no todo el mundo conoce.

Es importante conocer en profundidad los sistemas que manejamos, porque si todo va bien, es muy sencillo administrar un "guindo" pero si algún día tienes problemas, o sufres un incidente o tienes que estudiar si estás sufriendo un incidente... conocer estos términos te será fácil.

Vamos a empezar con el proceso de login, el denominado login interactivo. Es el que se produce cuando nos "sentamos" delante del equipo, cuando pulsamos ctrl+alt+spr. Dentro del login interactivo podemos incluir el que realizamos por RDP, podemos imaginar el RDP como un "túnel" en el que nos sitúa delante del pc. Realmente podemos denominarlo login remoto interactivo. 

Cuando realizamos este login, estamos accediendo a la SAM ( Security Account Manager) o a un dominio. Es muy importante entender esto. Si usamos un pc de empresa por ejemplo, podemos autenticarnos contra el propio pc, o contra el dominio. Esto se puede modificar, ya lo sabemos, pero es importante entender estos conceptos. Si haces login en la SAM, en local, si entras a una carpeta de red de un pc de dominio, tendrás que autenticarte en el equipo destino.

*imagina usuario1/contraseña1 en pc1. imagina usuario1/contraseña2 en pc2. Cuando te conectas con usuario1 desde pc1 al pc2, pc2 te pedirá la contraseña2, la del equipo destino...*

Otro tipo de login interactivo es el que realizamos con una tarjeta, una smart card.

El siguiente grupo de logins es el denominado de red. El que realizas cuando te conectas a un recurso de red, como pueda ser una carpeta compartida o una GPO. Otro tipo de login puede ser como proceso Batch y como servicio.

Otro tipo de login muy interesante es el de la cache. Imagina un portátil corporativo que se inicia en casa del empleado sin haber levantado vpn contra la empresa. Usa las credenciales almacenadas en el equipo,por defecto 10 veces máximo, para autenticarse dentro de un entorno de dominio. Este comportamiento se debe cambiar, si los procesos de la empresa lo permiten, para evitar esta funcionalidad. Imagina un caso muy sencillo: se resetea la clave porque se ha comprometido. El atacante tendría 10 logins "locales" en el equipo hasta que sea obligado a autenticarse contra el DC con la nueva password...

Otro tipo de login, denominada 10 es el que se produce cuando ejecutamos Runas /netonly. Con este parámetro el equipo se ejecutará en local con el usuario que levanta la consola, es decir, el que se logueo en el sistema local, pero si el programa accede a la red, usará el equipo usuario proporcionado con el comando runas.

Una vez explicados los logins, vamos a hablar de los dos grandes proveedores de autenticación en los sistemas Microsoft, NTLM y KERBEROS.

Imagina que un equipo cliente se conecta a un servidor de ficheros. Mediante el handshake NTLM se establece una conexión entre pc y cliente, con un desafío o challenge que se cifra con el hash del password del fichero... y el servidor de ficheros comprueba la contraseña del cliente consultando al controlador de dominio... quien es el jefazo de la organización y conoce las claves de los usuarios.( el funcionamiento de este mecanismo se ha simplificado para la comprensión del lector)

El proceso con Kerberos es algo distinto, ya que el el servidor de ficheros no se conecta al DC. El cliente solicita al DC un ticket de servicio para conectarse a un servidor destino, el DC le concede el ticket ( el funcionamiento de este mecanismo se ha simplificado para la comprensión del lector) y cuando el cliente se quiere conectar con el dichoso fileserver, le enseña ese ticket.

Voy a poner el ejemplo del parque de atracciones. Una persona entra al parque, y en la caseta le dan una pulsera. Cuando vas a la atracción, enseñas la pulsera. No va el tipo de la atracción a preguntar al de la caseta si realmente esa pulsera es válida. Entiende que si.

Un apunte sobre esta diferencia, cuando hacemos "barra barra" para conectarnos a un recurso de red, si usamos IP en vez de Nombre, estaremos usando NTLM en vez de Kerberos. Existen ataques muy conocidos para NTLM basados en man in the middle por lo que es una buena práctica generalizada usar siempre nombres DNS, no direcciones IP.

Tenemos otros proveedores de autenticación en los sistemas Microsoft, estos se denominan SSPI (Security Support Provider Interface) y aquí tienes todos los disponibles. 

Esta imagen es la típica para explicar qué son estos interfaces.

Aquí aparece el famoso LSASS, el sistema local de autenticación, el encargado de recibir las credenciales del login y según el caso, equipo local ( SAM) o dominio ( DC) comprobar las credenciales. Otra función básicas del sistema LSA es proporcionar la "cache" de autenticación, es decir, lo que proporciona el Single Sign On del cliente. Te imaginas tener que meter la clave cada vez que accedes a un recurso del dominio? a una carpeta? a un buzón Exchange?

De esta manera, las credenciales "suelen" cachearse en memoria, en ese proceso. Haciendo Debug a ese proceso conseguimos obtener las credenciales en memoria con herramientas como Mimikatz. Vas hilando el asunto...?  Una de las guías que más mecanismos de protección presenta es esta del SANS.

Estos tips son muy básicos y son cosas que pasan en tus Windows sin darte cuenta. Otro día haremos un troubleshooting y veremos cómo trackear todo esto, al igual que debugear el logon. Muchas veces nos encontramos con tipos de registros que no muestran el equipo externo. Imagina un Imap de Exchange expuestos a internet produciendo fallos de login en un DC... crees que va a salir la ip del malo en Rusia? es un ejemplo !!! no os lo tomeis todo al pie de letra.

Por supuesto que el propósito de este post no es ofensivo. Ni tan siquiera defensivo, es solo algo de conceptos que debes conocer.

Gracias por leerme !!!!

 Estimados amigos de Inseguros !!!

Si has vivido el comienzo de internet hará ya más de 20 años, inevitablemente habrás vivido el comienzo del hacking... van de la mano.

La cultura hackers apareció en los medios, prensa, televisión, cine... de una manera poco documentada como suele pasar. Ya conoces las películas legendarias... No sé por qué se asociaba el movimiento hacker con el punk... el cyberpunk!!! como si los expertos del momento pasaran los días en discotecas tomando drogas... que no digo que no...pero al final no eran como en las películas.

Una de las cosas que solían aparecer eran los "diccionarios" la jerga... en la que se definía que era un hacker, un lammer, un cracker... siendo este último término asociado a "hackers malos". Bueno, al final esto era una paja mental del periodista de turno. Un cracker tampoco son galletas... en este caso lo oriento al concepto de crackear, crackear un hash o una contraseña, averiguar su contenido en formato legible...

Podría ser crackear un programa... pero no es el caso...

Pudimos ver en otro artículo del blog como crackear hashes NTLM con la potencia de las máquinas virtuales en Azure y las GPU ( tarjetas gráficas). Usando herramientas como jhon the ripper o hashcat.

En esta ocasión vamos a ver algo similar, pero mucho más "as a services". Más sencillo. En este caso es un software denominado NPK (sodio, fósforo y potasio) que los amantes al cultivo de la yerba conocerán muy bien. Se trata de un software que empleando las capacidades serverless de Amazon, los S3, las sondas lambda, y la potencia de Terraform, conseguir desplegar dinámicamente instancias Amazon diseñadas con gran cantidad de recursos, incluidas potentes GPU, para optimizar el proceso de cracking. Todo esto mediante un frontend muy intuitivo y sencillo, aunque tengo que decir algo crispante.

Vamos a verlo para que imagineis lo sencillo de usar.

Eliges el tipo de hash, el tipo de instancia que quieres usar, subes el fichero, eliges el diccionario o las máscara de hashcat y te da una estimación de coste máximo para la previsión que tiene, en base a los requisitos. (la sonda lambda está constantemente monitoreando el coste).

Y al final si todo ha ido bien, tenemos nuestros hash descifrado o desencriptado xD.

Si bien el manual en el github es "claro", yo he perdido mucho tiempo en ponerlo a rodar por algunas cosas mías, por ejemplo, la edad, mi IQ, mi afición a no estar solo haciendo una cosa, etc xD pero básicamente tienes que llevar algunas precauciones. Cuando crees el profile del aws client. usa el nombre NPK o Terraform no sabrá donde buscar las credenciales. Usa Terraform v11 normal o dockerizado pero no me funciono ni 11,noseque ni 12.

Revisa los límites que tienes paras las instancias y si es necesario, abre un ticket para poder ampliarlo. En muchos tipos de instancias hay un límite por defecto para cuestiones de escalado y demás.

Un proyecto muy interesante que le cuesta un poco de afinar, tiene falta de documentación, logs, pero me gusta mucho el concepto de levantar las instancias dinámicamente.

Espero que te guste, gracias por leerme !!!

 Estimados amigos de Inseguros !!!

Seguro que muchos de vosotros tenéis un Directorio Activo sincronizado con Azure para una o varias funciones. Principalmente lo usamos para conectar las cuentas del dominio local con cuentas de Office 365.

Una de las funcionalidades que tenemos disponibles es la Inicio de sesión único de conexión directa, un SSO para no tener que estar autenticando nuestros Office online en cada uso.

Esta sincronización se hace mediante un ticket kerberos que se le pasa al navegador para autenticar con el portal de Office por ejemplo. 

El funcionamiento interno del ticket Kerberos se hace mediante una cuenta de equipo denominada AZUREADSSOACC. Cuando el usuario hace login en el portal de office, el controlador de dominio On-Premise genera un ticket kerberos usando esta cuenta, que representa el "azure ad".

Cómo imaginas, esta cuenta es muy importante y es necesario resetear el ticket kerberos que se genera de vez en cuando, por lo menos una vez al mes, para evitar que si se ve comprometida la cuenta o el ticket, un atacante no siga teniendo el control del usuario.

El ataque sería muy sencillo usando Mimikatz por ejemplo:

mimikatz.exe "lsadump::dcsync /user:AZUREADSSOACC$" exit

Con esta información estamos a disposición de crear un Silver Ticket mediante este ataque e impersonar a cualquier usuario.

Bueno, pero el propósito de este post no es otro que ayudar con la defensa, como casi siempre, y es importante que de vez en cuando, una o dos veces al trimestre... al semestre... hagais un reset del ticket kerberos para evitar persistencia en el sistema. No se os ocurra cambiar la clave de la cuenta.

El proceso es muy sencillo. Os recomiendo comprobar el estado de vuestra conexión, resetear el ticket, y volver a comprobarlo.

Import-Module “C:\Program Files\Microsoft Azure Active Directory Connect\AzureADSSO.psd1”

New-AzureADSSOAuthenticationContext 

Get-AzureADSSOStatus | ConvertFrom-Json

$Clave = Get-Credential

Update-AzureADSSOForest -OnPremCredentials $Clave

Espero que os sirva un poco para conocer cómo funciona esta particularidad, y sobre todo, para os asegureis !!!

Gracias por leerme !!!

 Estimados amigos del Inseguros !!!

Una de las patas más importantes en el juego de la ciberseguridad es el usuario. Nos quejamos constantemente de usuarios poco preparados, que lo aceptan todo, bien, si, pero seamos realistas, no todos deben ser unos auténticos cracks con la informática... y por qué no decirlo, todos hemos caido total o parcialmente en algún "problema", ya sea un virus, un spam o un casi phishing...

En el episodio de hoy mostraros unas pequeñas ayudas que tenemos con el servicio ATP de Microsoft. 

Nos quejamos muchas veces del coste del servicio M365 ( Office 365) pero al final si vas sumando funcionalidades, el ahorro es considerable. Compara una solución de correo+antivirus potente + software de simulación de phishing...al final para decir que algo es caro o barato hay que compararlo.

Si eres un afortunado de contar en tu plan de licenciamiento el ATP, es importante conocer el simulador de ataques. 

Por el momento podemos simular dos escenarios de ataques al usuario final, fuerza bruta ( horizontal y vertical) y phishing ( robo de credenciales y adjuntos).

 Estimados amigos de Inseguros !!!

Nube segura, seguro? por defecto si o por defecto no? pues depende !!! la nube, en este caso Azure, nos proporciona principalmente "seguridad del hardware" y disponibilidad, bueno y la seguridad de no tener que gestionar el sistema operativo que hay por debajo... pero podemos subir un poquito más las cotas de ciberseguridad de nuestros Sql Server en la nube mediante unos pequeños procesos. Pero espera... quizás nos sirva para On premise...

El conjunto de funcionalidades de seguridad de nuestras bases de datos no se queda en esta capa, existen numerosas funcionalidades como el etiquetado de datos sensibles, transporte cifrado... quizás esto sea objetivo de otro post...

Como siempre, las teclas del piano son muy sencillas y la configuración inicial es más bien un paseo... para eso nos hemos quedao :-)

 Estimados amigos !!!

Me hace mucha ilusión participar en este artículo, ya que aúna dos de mis pasiones, una quizás más pasada y otra presente, pero sin dudas dos disciplinas que me han marcado en mi carrera. Me refiero a las bases de datos y la ciberseguridad.

El primer curso que impartí en mi vida fue sobre Sql Server 7 creo que recordar en 3000 informática allá por el 2000, y siempre me fascinó el funcionamiento interno del motor, la memoria, la optimización. Si es cierto que me gustaba más la parte de "sistemas" que desarrollo, y eso derivó en mi pasión por los servidores. Pero bueno, batallitas aparte, que este post va de Seguridad en Sql Server sobre Windows.

Comenzamos "asentando" nuestro Sql Server sobre una UO que nos permita luego filtrar el conjunto de GPO´s diseñadas para la labor y a continuación creamos la Directiva de grupo vinculada a dicha UO. Metemos el servidor a la UO y comenzamos el viaje...

Siguiente paso, quitar roles del servidor. Si no vas a imprimir, quita el rol de servidor de impresión. Hay ataques que explotan este servicio y cuando menos superficie de exposición, mejor.

Establecer el servicio de copias VSS manual y no iniciado. Podemos sufrir un incidente por este mecanismo y no es necesario ( a no ser que sí lo sea).

Cambia el nombre al usuario SA  y comprueba que está deshabilitado.

En las propiedades del servidor, en seguridad, habilitar la auditoría de inicio de sesión, correcto y erróneo. 

Habilita la auditoría general del sistema creando una nueva política y establece la rama "Seguridad" o el fichero donde quieres ques se guarde. Esto dependerá del uso que le vayas a dar, y si tienes un SIEM o un SYSLOG y la manera que tenga de recolectar la información.

Usa el cifrado transparente TDE en las bases de datos para cifrar con un certificado los ficheros. Es útil para entornos en los que se puede realizar un ataque físico, por ejemplo, con acceso a un disco duro, a un backup etc. Por defecto en 2019 todas las bases de datos creadas se cifran, pero si vienes del pasado... sigue este procedimiento.

Otra buena idea es cifrar el contenido de una columna, por ejemplo datos sensibles, para que el administrador de la base de datos no tenga que ver el contenido de la misma.

Firewall

Uno de los aspectos claves para securizar una instancia de Sql Server es el firewall del sistema operativo que corre bajo el. Por defecto, el puerto TCP de Sql Server escucha en la "emisora" 1433. Sin embargo, en servicios "menos" pro como Sql Express la conexión con el motor se hace por puertos aleatorios. Como se puede saber el puerto, viendo el log, pero Sql Server gestiona esto con el Sql Browser, que escucha en el puerto UDP 1434. Según tu entorno, sabiendo esto, la recomendación es abrir solo el puerto 1433 y si es posible, deshabilitar el servicio Sql Browser para cumplir con el compromiso de minimizar la superficie de exposición... Si necesitas este "dinamismo" en los puertos de entrada, te recomiendo leer este documento, y filtrar el servicio por el ejecutable, no por el puerto.

Protección extendida

Imagina el concepto de un Rogue AP. Montar un acces point wifi similar a uno en producción, y esperar que los clientes se intenten conectar... enviando sus credenciales...

El mismo concepto se puede dar en un entorno de Man in the Middle contra un sql server mediante una autenticación basada en NTLM, en la que el cliente envía el desafío, pero un atacante "en medio", por ejemplo habiendo falseado una entrada DNS, puede hacer de relay contra el Sql Server real y así hacerse con el acceso.

Microsoft implementa el Extended Protection, lo que hace es añadir un token único para cliente, y establecer una whitelist de SPN, o cuentas en las que sí se podrá acceder. De esta manera podemos evadir dicho ataque de manera sencilla.

Esta vulnerabilidad no es intrínseca de Sql Server, sino de la autenticación basada en NTLM, por lo que es aplicable a otros servicios, como el conocido uso de Responder o Inveight para el mismo concepto, pero implementando el ataque para la aplicación SMB ( compartición de carpetas) o HTTP ( las páginas wweeeeeee).

La recomendación genérica para entornos Microsoft, es deshabilitar la autenticación NTLMv1 pero ni siempre es posible, sobre todo, con sistemas Legacy o no Compliance 100% etc...y también se puede creackear.

Vamos a hacer una pequeña prueba de concepto para que veais lo "sencillo" que es aprovechar este fallo.

Voy a usar la herramienta Inveigh, el clon de Responder para Powershell. La tool ejecuta un servidor SMB falso y esnifa, escucha, peticiones NTLM en la red. El escenario teórico del ataque sería una red en la que conseguimos acceso a un sql server, por ejemplo mediante una SqlInyection y podemos ejecutar "cosas". Si podemos ejecutar una dirtree en una equipo remoto, es decir un DIR, estaremos pasando las claves NTLM* al equipo destino. Si ese equipo destino es la herramienta, esnifará la petición y obtendremos el codiciado hash. Luego lo usaremos de varias maneras, pero se extralimita de este propósito. Vamos a verlo. Ejecuto una consulta desde el SqlServer hacía Inveigh

Y ahora vemos en la herramienta como hemos capturado el hash.

Ahora vamos a configurar la seguridad extendida en el SqlServer, y vamos a comprobar el resultado.

*NTLM: Cuando hablamos de Ntlm me refiero a net-ntlm. No es lo mismo que NTLM, pero para centrar al lector en la seguridad del Sql Server los conceptos son los mismos, y a fin de cuentas, ambos hashes se pueden crackear. Esto es una aclaración para puristas. Si quieres saber la diferencia entre Net-NTLM y NTLM pincha aquí y estudia :-) *

Otro tip para tu conocimiento. Si has hecho esta POC, prueba a pedir desde el Sql Server el DirTree con nombre de equipo en vez de dirección IP, sabes qué ocurre? Cuando hacemos barra barra a un equipo pasa lo mismo !!! si lo hacemos por nombre, la autenticación es basada en Kerberos, y no entra en juego Ntlm... tip de seguridad genérico :-)

Actualizaciones

El tema de las actualizaciones siempre ha sido complejo, pero como todo en la vida, al final es un reto más, pero no podemos dejarlo de lado. En numerosas auditorías y pentest que hago informo de versiones de Sql Server Viejas y sin parches importantes. Como que a TIC, y si es una rama dev. más aún, les da la risa floja en plan: "ahora viene este a decirme que no parcheo la bbdd" pero es necesario.

Es importante conocer un poco más sobre esta tarea que no todo el mundo sabe. Por lo general, los parches se liberan el segundo martes de cada mes, como los Windows... por lo que por la noche, o el miércoles por la mañana, tendrás parches...

Las actualizaciones suelen dividirse en 3 grandes grupos: HotFix, suelen ser soluciones a errores puntuales. CU o actualizaciones acumuladas, que son un conjunto de HotFix. Services Pack, son un conjunto de CU´s y HotFix y suelen tener funcionalidades nuevas. El ciclo de publicación es mayor por lo que suelen estar mucho más testeadas y son mas seguras y estables.

Dentro de este modelo, también debemos separar dos "branches" de las actualizaciones, una basada en hotfix puntuales que tienes o no, y otra denominada GDR ( General Development Release). 

Imagina un hotfix que soluciona un problema X para los Sql Server sobre 2019 en versión castellano en servidores Hp de la gama ZYX... puede que tengamos ese parche, ese hotfix, si tenemos esa casuística concreta... pero si sale el service pack 1, esta "rama" de actualizaciones es general para todos los sql servers. El service pack 2 incluiría todas las actualizaciones del 1, por ser acumulativo.

Me gusta este video de mi líder mundial Enrique Catala. 

Usuario Servicio

Otra de toda la vida... Si instalas un SqlServer con permisos de administrador del dominio, el SqlServer se ejecuta con este contexto de seguridad. Si un atacante accede a la bbdd, accede con esos permisos... Es sencillo. Hay que crear usuarios específicos para el servicio, y fortificarlos para que tengan solo los permisos necesarios para la labor de ejecutar el servidor. No tiene sentido que ese usuario tenga acceso de escritura a la carpeta "nóminas" de ese fileserver... si no es necesario.

NMAP

Un básico de los sistemas y más estos, es realizar auditorías periódicas para conocer el estado real de la seguridad de los mismos. Es común creer que nuestros entornos son más seguros de lo que lo son, y en el peor de los casos, podemos aprender de cambios no controlados. Nos ocurre muchas veces que encontramos planteamientos distintos de los que creían en la organización, por un cambio en un partner, una reparación rápida y "provisional", etc...

Aunque no estés muy puesto en este mundo, lanzar desde un linux algo así : nmap --script ms-sql-info,ms-sql-empty-password,ms-sql-xp-cmdshell,ms-sql-config,ms-sql-ntlm-info,ms-sql-tables,ms-sql-hasdbaccess,ms-sql-dac,ms-sql-dump-hashes --script-args mssql.instance-port=1433,mssql.username=sa,mssql.password=,mssql.instance-name=MSSQLSERVER -sV -p 1433 192.168.1.1 siempre es bueno.

PORT     STATE SERVICE  VERSION

1433/tcp open  ms-sql-s Microsoft SQL Server  15.00.2000.00

| ms-sql-ntlm-info: 

Host script results:

| ms-sql-info: 

|   192.168.1.101:1433: 

|     Version: 

|       name: Microsoft SQL Server 

|       number: 15.00.2000.00

|       Product: Microsoft SQL Server 

|_    TCP port: 1433

Transact Sql

El propio lenguaje de gestión del Sql Server te proporciona algunos procedimientos y funciones relacionadas con la seguridad, que si bien te pueden sonar a chino si no las necesitas, es bueno conocerlas y darles un repaso, lo mismo identificas implementaciones inseguras o valores no deseados. Las principales son: sys.database_permissions, sys.database_principals, sys.database_role_members, sys.database_scoped_credentials, sys.master_key_passwords, sys.user_token, sys.credentials, sys.login_token, sys.securable_classes, sys.server_permissions, sys.server_principals, sys.server_role_members, sys.sql_logins, sys.system_components_surface_area_configuration, sys.asymmetric_keys, sys.certificates, sys.column_encryption_key_values, sys.column_encryption_keys, sys.column_master_keys, sys.crypt_properties, sys.cryptographic_providers, sys.key_encryptions, sys.openkeys, sys.security_policies, sys.security_predicates, sys.symmetric_keys, sys.server_audits, sys.server_audit_specifications, sys.database_audit_specifications,  PWDCOMPARE (Transact-SQL), CERTPRIVATEKEY (Transact-SQL), PWDENCRYPT (Transact-SQL), CURRENT_USER (Transact-SQL), SCHEMA_ID (Transact-SQL), DATABASE_PRINCIPAL_ID (Transact-SQL), SCHEMA_NAME (Transact-SQL), sys.fn_builtin_permissions (Transact-SQL), SESSION_USER (Transact-SQL), sys.fn_get_audit_file (Transact-SQL), SUSER_ID (Transact-SQL), sys.fn_my_permissions (Transact-SQL), SUSER_SID (Transact-SQL), HAS_PERMS_BY_NAME (Transact-SQL), SUSER_SNAME (Transact-SQL), IS_MEMBER (Transact-SQL), SYSTEM_USER (Transact-SQL), IS_ROLEMEMBER (Transact-SQL), SUSER_NAME (Transact-SQL), IS_SRVROLEMEMBER (Transact-SQL), USER_ID (Transact-SQL), ORIGINAL_LOGIN (Transact-SQL), USER_NAME (Transact-SQL), PERMISSIONS (Transact-SQL)

Azure

Como pudimos ver hace unos días, el propio Azure nos permite fortificar o supervisar la seguridad de nuestros sistemas, integrando en el Security Center nuestras instancias, tanto en la nube como On Premise.

Como puedes ver, hay muchas formas de abordar el proceso de robustecimiento de nuestros motores de base de datos SQL Server, no es un proceso cerrado, y seguro que entre todos se nos ocurren más procesos, verdad?

Espero que te guste, gracias por leerme !!!

 Estimados amigos de Inseguros !!!

Dentro la carrera, lucha, guerra entre el bien y el mal... en el mundo ciber tenemos ataques, medidas defensivas, evasión de las medidas defensivas, detección de evasión de medidas defensivas, y así hasta encontrar la verdad sobre qué fue antes, el huevo o la gallina...

En esta ocasión vamos a probar una técnica recién publicada por el señor Johnny Shaw.  El fundamento técnico en detalle podemos conocerlo de la mano del mismo autor, pero sin duda es un gran paso en la evasión de antivirus por lo novedoso de la técnica.

En el momento de revelar la prueba de concepto se podía evadir al antivirus de Microsoft, pero en el momento de mis pruebas el proceso de evasión no era capaz de evitar la ejecución de la herramienta, sin embargo probé con otro antivirus, en este caso Avast y funcionaba perfectamente.

Estimados amigos de Inseguros!!!

Sin duda alguna Openvas es un producto interesante en la gestión de vulnerabilidades, en concreto en el análisis, pero si has trabajado con el coincidiras conmigo que se rompe más que la escopeta de una feria.

Recuerdo una frase de un gran amigo manchego diciendo eso, que es más complicado que configurar openvas xD.

Tengo colegas que a pesar de aceptar que es una pedazo de herramienta, le tienen "reticencias" por lo complejo que es el troubleshooting.

Bajo mi punto de vista, y además el uno formaba parte del otro, le ha pasado lo mismo que a OSSIM, grandes proyectos que no han sabido/querido mantener la evolución de las dos líneas de producto, comunitaria y comercial, por supuesto en detrimento la primera de la segunda. 

Bueno, a pesar de esta reflexión, me gusta Openvas y lo uso, y recientemente hay problemas para actualizar los feeds, la inteligencia...las detecciones... De poco nos sirve usar este programa si no detectamos las vulnerabilidades que aparecen mes a mes. Hay que actualizar !!!

Y desde hace poco, han cambiado el servidor de feeds y si eres como yo que andas con una versión vieja del software base, y no has actualizado los componentes, no podrás actualizar.

Podrías actualizar el sistema, pero la vas a liar, la vas a liar mucho xDDDD

Para actualizar los feeds vamos a empezar por los NVT con el comando:  

/usr/sbin/greenbone-nvt-sync

Si todo va bien no sigas, pero sospecho que no podrás.

Yo para empezar he editado este fichero /usr/sbin/greenbone-nvt-sync y he cambiado donde ponía feed.openvas.org y lo he cambiado por feed.community.greenbone.net.

Una vez descargados, lo suyo es hacer un rebuild en vez de hacer un update. Como sabes por defecto Openvas usa Sqlite ( podemos poner postgresql) .

/usr/sbin/openvasmd --rebuild --verbose –progress

Le pegamos un reinicio a la máquina y seguimos con

greenbone-certdata-sync  greenbone-scapdata-sync

Me gusta hacerlo por partes para ir delimitando problemas, y por supuesto, snapshot en mi caso a la máquina para no pasarlo luego mal…

Estimados amigos de Inseguros !!!

En todos los aspectos de la vida sufrimos la incidencia de las modas. En la ciberseguridad no iba a ser menos.

Si bien hace 5 años la seguridad de los sistemas Microsoft no se trabajaba, ahora todo el mundo la práctica. Conocer los 4 ataques más sencillos de manual no te hace galan del título de maestro del universo. 

Otra moda actual es la de los CTF´s, en la que muchos jóvenes, no todos, emplean su tiempo en encontrar la gloria de un ranking o puesto laboral en base a pasar pruebas al estilo de las olimpiadas. Pregunta a los jugadores de CTF´s de hace 15 años si pensaban que algún día esto iba a ser de "chicos guays".

Si juntamos las dos opciones me encuentro con gente que sabe eso, lanzar el ataque, en este caso el Kerberoasting, pero que no tienen ni pajolera idea de que es lo que está ocurriendo por detrás... o lo que es más curioso, como solucionarlo !!!

Cuando te inicias en el mundo del CTF tu misión no es arreglar, es romper, pero en la vida real luchamos contra el cibercrimen, y si bien este ataque nos produce inmenso placer cuando conseguimos hacerlo y obtener buenos resultados, el objetivo es proteger a las organizaciones. Al menos es mi visión, atacar para defender y viceversa...

Una aproximación del ataque podría ser esta y una explicación un poco de más bajo nivel podría ser esta de la gente de Tarlogic con una explicación sencilla.

Disponible a partir de Windows Server 2012, podemos implementar Fast ( Flexible Authentication Secure Tunneling) 

La idea es sencilla, crear, o mejor dicho, requerir una autenticación previa a la hora de pedir al KDC el TGS que luego crackeamos.

Cuando se hace la petición del TGT se establece una session key con el timestamp y la contraseña del equipo, que como sabes es random y de 120 caracteres, lo que aporta la suficiente aleatoriedad a la mezcla que hace imposible el ataque criptográfico.

Como siempre, es necesario tener el dominio en nivel funcional 2012, todos los DC´s 2012 o superiores :-) y todos los clientes Windows 8 o superior.

Si tenemos otro ambiente debemos de ser muy cuidadosos con esto o perderemos integración con Kerberos en esos dispositivos.

La teclas del piano son muy sencillas, y como suele ser habitual en este tipo de settings, podemos configurar si el comportamiento es obligado o recomendado.

 Estimados amigos de Inseguros !!!

Cuando hablamos de ciberseguridad, siempre nos gusta hablar de complejas técnicas de ataque, de exploits de nueva generación con evasión de AMSI y todo tipo de perrerias técnicas.

Desde Inseguros siempre apostamos por construir un sistema desde lo básico, con el Fix The Basics y las ideas claras, y pasito a pasito.

Al igual que digo que la seguridad empieza por el inventario, la gestión de eventos, de logs, es la siguiente pieza para una correcta visibilidad, monitorización.

Mi experiencia en el mundo Microsoft es que los logs se emplean para realizar resolución de problemas, cuando tienes algo que no va... esto en el mejor de los casos. Otros administradores buscan ayuda fuera o en Google sin ni siquiera mirar sus eventos...

Los que nos dedicamos a la ciberseguridad tenemos claro que el SIEM es una pieza importante, ese sistema que concentra los logs de todo tipo de sistemas, y que aportan un sinfín de ventajas a la hora de detectar ataques.

En los entornos menos maduros es inviable la adquisición del mismo, ya que si bien el coste al final son euros o dólares o pesos... el factor humano de la gestión es fundamental, y mucho más costoso que el licenciamiento. No os imagináis la cantidad de organizaciones que compran el SIEM fantástico de turno e incluso está apagado.

En el artículo de hoy vamos a repasar una función de los sistemas Microsoft Server 2012 en adelante que es la capacidad de enviar-adquirir eventos.

Vamos con las imágenes que se explican mejor que yo.

Recuerdo épocas en mi vida que haciendo "barra barra" a una IP pública (conectando equipos Windows 98 con modem) te daba acceso a la carpeta del usuario... o como barrer internet buscando Sql Servers con el usuario SA sin contraseña. Parece que esto fué hace siglos, y en ocasiones nos los encontramos, pero tenemos que reconocer que todo esto ha cambiado muchos en los últimos años.

Una fecha importante para la historia en la ciberseguridad de la empresa de Redmond fue el 15 de junio de 2002, donde Bill Gates envió una carta al persona con una iniciativa denominada Trustworthy Computing animando a los empleados a concienciarse en la ciberseguridad, con "todo eso del .net" y el futuro auge de Internet. Esto fue solo una carta... pero fue al pistoletazo de salida.

Organizaciones internacionales como Common Criteria realizan exhaustivos test de seguridad contra productos de distinta índole para certificar el grado de cumplimiento. No pienses en Catalina para Mac, Red Hat o Microsoft Server, hay todo tipo de productos que se ponen bajo el radar. Los sistemas operativos de la familia Microsoft siempre aparecen con altas certificaciones. 

Pero como todo en esta vida, habrá quien confíe más o menos en estos organismos, pero sin duda, el trabajo de Microsoft por establecerse como una compañía ciberseguridad, y más allá, de ciberseguridad, son patentes en pequeños gestos con un gran impacto. Pongamos como ejemplo la política de actualizaciones de Microsoft. Hace unos años era habitual encontrar con equipos MUY desactualizados. Tanto por un proceso formal, como por la calidad de los parches, los administradores encontraban en este requisito de actualización un gran problema. Un gran adelanto fue la programación mensual del ciclo de actualizaciones vigente en los productos. A día de hoy, lo veo una gran funcionalidad, el tener un calendario estable, en el que los departamentos puedan estar pendientes y planificar procesos de parcheo. No conozco muchos fabricantes que lo hagan así. Por ejemplo, un rival directo en los sistemas de bases de datos que todos conocemos por su Plsql es NEFASTO en esto. No en su "ciberseguridad". Todos los productos tienen fallos, sino en la gestión de los mismos. Paquetes de seguridad con 800 parches son el terror de cualquier SYSDBA y pone en valor la sencillez con la que Microsoft resolvió este proceso.

Otro de los procesos de mejora de la ciberseguridad que acometió Microsoft fue la creación de un programa de Bug Bounty o recompensa. Es un sistema en el que se "anima" a los investigadores a que realicen pruebas de seguridad contra determinados objetivos o áreas, y en función de los hallazgos se recompensa al investigador. Es decir, como hace el mundo del cibercrimen, ¡¡¡¡pero la recompensa es legal :-) Microsoft paga por reportar fallos !!!  no está mal, hay otras empresas que denuncia a los investigadores... 

¡¡¡Pero lo que todos lectores de esta humilde publicación quieren tecnología !!! quieren siglas, productos, protocolos!!! Microsoft más lejos de su programa interno, cuenta con un centro de respuesta e investigación muy potente a nivel mundial, que lucha contra el cibercrimen para los usuarios de internet, no solo para sus clientes. 

Tenemos más "siglas" para ti, Atp, el antivirus de nueva generación de Microsoft con capacidades de EDR. Si esto lo hubieran previsto los vendors de la industria hace 15 años diría que tienen capacidades de "futurología". Microsoft haciendo antivirus, además, de los más potente del mercado. No se basa en la detección por firmas, sino que implementan un potente motor heurístico con todo tipo de servicios añadidos, no sólo la detección del malware, sino el comportamiento, aprendizaje, etc. Sin duda una revolución en la ciberseguridad Microsoft !!!

Si hablamos de la nube de Microsoft, Microsoft 365 y Azure la ciberseguridad es una pata más de los servicios, como puedan ser los Gigas de Ram o las instancias de CPU. Los servicios de ciberseguridad de Microsoft contemplan toda la fase de un incidente, Impedir, detectar, mitigar, investigar, responder... Podemos conectar nuestros SIEM´s, pero también tenemos el SIEM de Microsoft, Sentinel !!!. Algo joven pero prometedor, que está abarcando las miradas de toda la industria relacionada por su potencia. podemos usar servicios de Data Lost Prevention, gestión de identidades, podemos analizar cumplimientos normativos como PCI-DSS... 

MSRC 1

El centro de respuesta de seguridad de Microsoft se alza como uno de los organismos protector de la ciberseguridad mundial en ámbitos de nuestra vida de todo tipo. 

A finales del mes de octubre, el MSRC reportaba un fuerte ataque del grupo denominado APT35 con origen en Irán, basado en una campaña de phishing dirigida a los miembros de importantes conferencias de seguridad nacional, con el objetivo de obtener de realizar contra-inteligencia a los gobiernos. Las primeras actividades del denominado APT35 se vienen desarrollando desde 2013 y se continúa con la lucha para dar caza a dicho colectivo.

En un ámbito un poco más tecnológico, el MSRCdesmanteló recientemente la famosa red de ransomware Trickbot. Esta red llevaba desde 2016 casi 1 millón de infecciones controladas. La compañía analizó más de 60.000 variantes de código de dicha pieza de malware.

Estas redes emplean mecanismos de evasión de seguridad y persistencia para hacer muy difícil el análisis y comportamiento, y así rentabilizar la inversión tecnológica del grupo criminal, haciendo que durante más tiempo la muestra sea indetectable por las soluciones de seguridad, y así poder infectar al más número posible de víctimas, o simplemente permanecer más tiempo vigente.

En el último reporte de actividad publicado por Microsoft podemos conocer de primera mano las tendencias en ciberataques detectados por el MSRC de la última parte del año y el impacto del Covid19 en el panorama del cibercrimen.

Conclusión

Adoptar las tecnologías de Microsoft siempre ha tenido la ventaja de la interoperabilidad entre sus distintos componentes, y sin duda, poder contar con el gigante de Redmond como aliado en nuestro proceso de mejora de la ciberseguridad es algo positivo. Bien empleando de manera segura sus servicios/productos, o usando los destinados a proteger la organización, contamos con una apuesta firme y continuidad de la casa y lo considero una apuesta ganadora.

Gracias por leerme

 Estimados amigos de Inseguros !!!

Creo que el título es suficientemente descriptivo como para todos los telespectadores xD pero por si acaso...

Un caso sencillo de scripts de envío de correo podría ir vinculado a un evento determinado, o por ejemplo una tarea programada que falla... los casos son muchos.

Escribir un script en Powershell para enviar correos es sencillo, pero tener una $password="12345678" es una mala práctica, porque los malos saben que lo haces/hacemos... y buscan en todo tipo de referencias buscando este tipo de comportamientos.

El procedimiento es más bien sencillo:

Volcamos en un fichero de texto la contraseña cifrada y hacemos el envío del correo ( o cualquier uso de credenciales)recuperando la clave cifrada y haciendo la magia descifrado.

El churro sería algo así:

"CacadeVaca123" | ConvertTo-SecureString -AsPlainText -Force | ConvertFrom-SecureString | Out-File "C:\EmailPassword.txt"

$Mensaje="mimamamemima"
$User="notificacionempresalab@gmail.com"
$File="C:\EmailPassword.txt"

$cred=New-Object-TypeNameSystem.Management.Automation.PSCredential-ArgumentList$User, (Get-Content$File|ConvertTo-SecureString)

$EmailFrom="test_empresalab@gmail.com"

$EmailTo="kinomakino_mecome_el_pepino@hotmail.com"

$Subject="Alerta de registro."

$Body="Se ha modificado el registro con ID $Mensaje"

$SMTPServer="smtp.gmail.com"

$SMTPClient=New-ObjectNet.Mail.SmtpClient($SmtpServer,587)

$SMTPClient.EnableSsl =$true

$SMTPClient.Credentials =New-ObjectSystem.Net.NetworkCredential($cred.UserName,$cred.Password); 

$SMTPClient.Send($EmailFrom,$EmailTo,$Subject,$Body) 

El comando ConverTo-SecureString hace uso de DPAPI ( Data Protection API) para usando un algoritmo de cifrado ( AES 256 en versiones modernas, 3DES en antiguas) para montar un hash en base al propio hash de la clave del usuario.

Si quieres conocer en profundidad cómo funciona el proceso de cifrado a bajo nivel, este es el mejor artículo que conozco.

Si te gustan estos artículos, hemos habilitado un formulario en la web para registrar tu correo y enviarte información para posibles formaciones de Ciberseguridad. Te apuntas?

Gracias por leerme !!!

 Estimados amigos de Inseguros !!!

El tema de hoy es la risa, porque no conozco empresa que lo tenga bien, y mira que doy vueltas por compañías de todo tipo...

Ejecución de scripts en Powershell. Recuerdo cuando se introdujo su uso, o mejor dicho, popularizó, con Server 2012 ejecutabas un script y no tiraba. En internet calculo que hay un millón y medio de post diciendo cómo desactivar la política de ejecución de scripts en Windows. ( 500.000 en castellano).

Hablo del famoso set-execution policy unrestricted

No voy a entrar en todos los modos que hay, ni los ámbitos de aplicación, ni como "hackear" esto. Voy a comenzar por el principio.

Por qué no dejas la configuración de ficheros firmados, e implementas la buena práctica de usar scripts firmados, o auto-firmados... pero desactivarlo la primera vez que usas PS y dejarlo así? así no my friend !!!

Los pasos son sencillos. Debemos instalar una Entidad emisora de Certificados como un role en nuestro server favorito. Siguiendo cualquier documental en video, o en Twich ( algún día opinaré sobre esto xD) o siguiente siguiente, podrás instalar por defecto una CA, que te vendrá bien para firmar tus apps internas, tu EFS, tu IPSEC o cualquier otro servicio que requiera de certificados dentro del dominio. En este caso, solo firmar tus scripts...

Con la CA instalada, el proceso es sencillo. Configuramos en la plantilla de certificados qué usuario o grupo podrá firmar scripts PowerShell.

 Estimados amigos de Inseguros !!!

Hoy vamos a ver un pequeño truco que os puede aportar valor tanto si sois del Red Team y queréis "romper" como si luchas contra esto en el Blue Team. 

En un proceso de hacking en sistemas Microsoft el principal elemento a tener en cuenta es la enumeración. No se si el más importante o no, pero al menos es el movimiento inicial una vez te "sientas" en la organización.

Hay mil maneras de enumerar activos en AD, pero el más sencillo es usar el entorno gráfico, el botoncito, y buscar por ahí...

 Estimados amigos de Inseguros !!!

Voy a empezar una mini serie de artículos relacionados con los laboratorios que tenemos en nuestro entorno.

El tener una buen despliegue de los recursos que necesitas es fundamental para estudiar y hacer prácticas.

En mi caso os voy a contar el setting que tengo ahora mismo, pero suele cambiar según voy petando cosas :-)

Espero que se animen los coleguis. y mostraros más laboratorios. Empiezo yo...

Mi equipo de trabajo es un MacBookPro con 16gb de ram con el sistema operativo nativo y una máquina virtual Kali linux con 8gb Ram. Con estas dos máquinas me garantizo poder operar en mis desplazamientos si surgen en algún cliente, charla, reunión, etc.

Aparte de esto tengo dos equipos clónicos, un i3/32 GB RAM/1tb SSD/1tb HD con un windows 10. Sobre el Windows 10 monto Hyper-v y ahí tengo unas cuantas máquinas. Esa máquina 10 la suelo configurar con Commando, ya sabes, la configuración de FireEye con herramientas de hacking.

El otro clónico lo tengo poco tiempo, es un i7/64/1tb ssd/ 1tb hd con un vmware esxi y otro puñadito de máquinas. 

Cuando necesito otro tipo de casuísticas, por ejemplo laboratorios que voy a usar fuera de casa, para exponer a internet, suelo usar Azure. Para desplegar máquinas en Azure suelo usar algunos scripts que me automatizan el setting, por ejemplo, aquí hablamos de como montar un entorno Active Directory con Sysmon y ELK

Con más de 100 gb de ram a mi disposición, más Azure más cositas en la empresa, tengo suficiente para virtualizar mis máquinas y películas.

Espero que te guste, si tienes dudas de mi laboratorio no dudes en preguntar !!!

Gracias por leerme !!!

Hace unos días publiqué un mini post con mi pequeño escenario de máquinas virtuales y laboratorios. 

Para hacer gala de esos amigos que tengo, les pedí a algunos de ellos que me pasaran su configuración de guerra, y uno de ellos ha sido mi amigo de tierra del sur George de Triana.

Os paso su "proyecto" de artículo que no tiene desperdicio, y aprovecho para agradecerle su esfuerzo, y para seguir animándote a que me envíes el tuyo.

Mi Lab a ritmo de Lola Flores

Un 8 de febrero a las 12:28, Jorge se disponía a celebrar el medio día con su primera Cruzcampo. Sin embargo, fue interrumpido por el Gran Kinomakino que le sugirió: