Security Art Work

¿Quién no ha visto en algún tebeo o película al protagonista golpeando unos puntos concretos en la pared o moviendo unos libros de la librería para que mágicamente se abra un acceso oculto? Quizás surgió de ahí la idea de crear Port Knocking, un script cuyo funcionamiento se podría comparar al de una combinación que permite abrir una caja fuerte.

El objetivo de esta herramienta es habilitar de forma temporal el puerto al que se quiere conectar mediante una serie de llamadas previas a otros puertos (knocks) en un orden determinado. El único requisito previo para que funcione es tener instalado un firewall a nivel local, que será quien habilite y bloquee los accesos realmente. En nuestro caso utilizaremos iptables, el cual ya viene incluido en distribuciones como Debian, junto a iptables-persistent para no perder los cambios que vayamos realizando.

[Read more…]

(La entrada de hoy corre a cargo de Rafael Paez, colaborador de Security Art Work)

Después de un tiempo sin escribir nada por aquí (por tema de tiempo básicamente), me gustaría hablar sobre la certificación OSCP (Offensive Security Certified Professional), la cual obtuve a principios de año y la cual recomiendo totalmente.

Esta certificación viene de la mano de Offensive Security (creadores de Kali Linux) y es una certificación totalmente práctica destinada a aquellas personas que quieran aprender y/o profundizar en el tema de los test de penetración (tanto de sistemas como de web) y de escalada de privilegios.

[Read more…]

Dadas las numerosas noticias que han aparecido últimamente sobre fugas de datos, a todos se nos pasan por la cabeza preguntas como “¿Dónde pueden estar nuestros datos?” y “¿Qué pasaría si la organización a la que se los hemos suministrado “voluntariamente” tuviera una brecha de seguridad que pudiera provocar el robo o fuga de los mismos?”.

Buscando información para hacer este post, me he encontrado con esta página que muestra de forma gráfica información sobre las organizaciones que en los últimos años han sufrido una fuga de datos.

[Read more…]

Quien más, quien menos ha leído acerca de XCodeGhost. Una reciente bomba informativa que se ha vertido a los medios de comunicación como “App Store Hackeada”, dando a entender que el servicio de compra y descarga de aplicaciones había sido hackeado.

Espera, espera, espera…

[Read more…]

Enciendo la televisión. Tras una pasada por tele tiendas, debates ideológicos y películas antiguas de canales con poco presupuesto me llaman la atención la gran oferta en series: Reyes y caballeros medievales fantásticos que a todos gustan, un hombre con una espada que tiene nombre de pájaro, una ambientada en un mundo post-apocalíptico infestado por zombis… pero la que más me ha llamado la atención es Mr. Robot, la última serie de ficción sobre ciberseguridad.

Esta entradilla podría haber sido cierta excepto por una cosa, Mr. Robot no está ni disponible en España ni doblada en español por el momento. Y esto se debe a que la serie es bastante reciente, tanto que ha sido estrenada en Estados Unidos a finales de Junio.

[Read more…]

Se acabaron las vacaciones, vuelven los madrugones, las interminables jornadas laborales, los atascos, pero no somos los únicos a los que se les acaban las vacaciones; a los niños también se les termina el chollo y han de volver a los colegios y a las guarderías. A más de uno, esto último será la única parte positiva de la vuelta de vacaciones.

En mi caso, mi “enano” vuelve a la guardería, y este año han decidido “modernizarse” y adaptarse más si cabe a lo que la tecnología les ofrece. Este año ya no habrá agenda en papel; en su lugar utilizaremos una agenda digital. Una aplicación que descargas en tu Smartphone con toda la información de tu hijo y donde diariamente te informan de su actividad en la guardería. Si ha comido bien, cuánto ha comido, cuánto ha dormido, etc.

[Read more…]

En el mes de mayo se llevó a cabo el Tercer Congreso Internacional de Protección de Datos, donde la Súper Intendencia de Industria y Comercio (SIC) realizó el lanzamiento de la Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability).

Como ya sabemos, la reglamentación de la Ley de Protección de Datos en Colombia ha sido un poco ambigua porque da pinceladas de todo, pero sin concluir ninguno de los temas. De este modo, la llegada de la Guía permitió dar un nuevo rumbo ya que estructuró corporativamente la protección de datos personales.

[Read more…]

En este post vamos a ver dos maneras de droppear shells en equipos Windows, no voy a entrar en detalles de cómo llegar a comprometer un equipo, asumo que ya está hecho y que habéis volcado los hashes o credenciales en texto plano utilizando Mimikatz o alguna herramienta similar.

La primera de ellas será utilizando Metasploit y psexec_scanner,un grandioso módulo de Darkoperator, la segunda mediante psexec.py de IMPACKET.

[Read more…]

Hace un par de semanas recibí un WhatsApp de un contacto del que hacía tiempo que no sabía nada. Me enviaba un enlace a seguir y a continuación una frase en la que hacía referencia a un vale descuento para Mercadona. Alguien con quien apenas tengo contacto, ¿me regala un vale descuento?… Llámame desconfiada, pero aunque ese mensaje lo hubiera enviado el mismísimo Juan Roig, habría desconfiado igualmente.

Hoy en día estamos más que acostumbrados a escuchar o leer noticias de este tipo, relacionadas con nuevos fraudes online. Sin embargo, todavía seguimos cayendo.

[Read more…]

En este caso el dicho popular “segundas partes nunca fueron buenas” no se cumplió. Repitiendo el éxito del año pasado la organización de la rooted trajo a tierras valencianas un buen elenco de profesionales de la seguridad para presentar sus últimos trabajos. Como en años anteriores, S2 Grupo ha participado como espónsor del congreso, mostrando así nuestro compromiso con la seguridad.

[Read more…]