domingo, 21 de mayo de 2017

Famosa !!! muñeca o celebrity. Opiniones...

Estimados amigos de Inseguros !!!

Llevamos unas semanas más ajetreadas de lo normal con la exposición de la gente a los medios y después del tonteo del otro día de Wannacry sospecho que va a dar para varias entregas.


Aunque ya he expresado mi opinión al respecto en varios foros, me apetece escribir por aquí lo que quiero sin las restricción de los 140 caracteres o la app. móvil.

Para centrar un poco mi opinión voy a hablar de otras dos de mis pasiones aparte de la informática, que he vivido como algo más que un hobby, como un estilo de vida, pero que al final pasó como lo que está pasando ahora mismo con la infosec.

Era 1993 o así. Estaba metido de lleno en la cultura hip hop. Si estás o has estado sabrás de lo que hablo, una cultura reivindicativa, antisocial, transgresora, con varias facetas de expresión artística como el graffiti, el break dance y el rap.

Estábamos en la movida, escribí un fanzine de graffiti en el que pegaba fotos sobre un a3, escribía al título con la máquina de escribir y lo pegaba debajo. Luego se fotocopiaba y se vendía por 300 pesetas. Recuerdo con ilusión como de mano en mano, fotocopia en fotocopia, recibimos cartas, si cartas con sello, de gente de TODA España felicitándonos por el trabajo.




Mis mejores amigos cantaban Rap, muchos amigos. De repente, salió en la prensa un grupo de Madrid, los poetas violentas. Eran todos una banda, vestidos igual, rapados igual, gente con dinero que pudieron acceder a grabar un disco, cuando los demás estábamos con las cintas.


No se lo merecían, no eran los mejores, no eran lo únicos, pero fueron los primeros en sacar un disco de rap en España. Los medios escribieron soberanas tonterías gracias a la desinformación. Apareció el príncipe de bell air... años más tarde Eminem, las batallas de gallos y todo se fue a tomar por culo.

La cultura desapareció, y el hip hop se convirtió en un baile de un talent show, y el rap se conviritió en cualquier persona que rima sobre un 4x4 rimando los finales.

Ahora de los 1000 grupos que salen de rap, me gusta 1. Pero me da igual que hayan 999 malos. Es una opinión seguramente de abuelo cebolleta, y lo que durante un tiempo me molestó, ahora me la suda.

Ahora voy a seguir unos cuantos años más 1998/2000. Otra de mis pasiones, el SkateBoard.

Ya sabes, Sk8 or die. Todo el dia en la calle lleno de mierda con la tabla partiendome el cuerpo para sacar el truco más guapo. Aquí la cultura era esa, patina o muere. Era otro estilo de vida, en el que reivindicamos nuestras inquietudes deportivas, de manera de vivir, al margen de la aficiones "normales" que tenían las personas de nuestra edad: salir a ligar.

Cuando el skate salió a los medios MASIVAMENTE, con el juego de la playstation de Tony Hawk, hubo una revolución mediática. Las empresas de toda la vida que NO APOYABAN el skate, como Nike, Adidas, etc empezaron a contratar gente para vender sus productos. Los profesionales del skate.

Cuando Nike o Redbull ficha a un talento con la tabla, creeis que contratan al mejor, al que más trucos hace, al que más estilo tiene, al que más años llevan patinando, al que más se lo merece? PUES NO. Contratan a una mezcla de lo anterior, y alguien con "carismas" con "posse" con aspecto guay, que convine con su marca. Imaginas a un tipo gordo y feo patrocinado por Nike, por muy bueno que sea?

Después de vivir todo esto qué crees que pienso cuando veo a un tipo más parecido a un módelo anorexico que a un chaval de 18 años, vestido de moda, con la tablita de longboard? o a la misma figura en chica que lleva el longboard bajo el brazo porque quiere ligar con el tipo del skate... Como con el hip hop. hubo un tiempo en el que me reventaba, ahora, me la suda...

AQUÍ EMPIEZA LA PARTE DEL HACKING.


Al igual que el skate, el hiphop, el surf hace 40 años, el rock hace 50, el hacking ha cambiado. Ahora está en los medios, y te guste o no, es lo que hay. No chochees con una cultura que nació hace 30 años con unos motivos, con la lucha contra telefónica y la tarifa plana, con el acceso a internet universal, con el afán del conocimiento libre y accesible. El hacking de ahora lo hacen gente que ha estudiado su carrera con matrículas de honor, que ha hecho un master no se donde, y que de lunes a viernes trabaja 50 horas haciendo test e informes.

Si tu eres de los de antes, ole tus huevos. Si eres de los de ahora, ole tus huevos. Todo es válido, y precisamente gracias a la lucha de muchos por esa libertad en internet, ahora están las nuevas generaciones. Qué quieres, que te paguen? que te admiren? NONONO, esto no va así.

Queridos haters, prefiero ser el tonto del BMW que el listo que no tienen para pipas. Quizás tú vayas al cielo hacker, o quizás seas un perdedor hobbit de la tierra media, enano criticón, jaajajaja.

Espero que hayas entendido mi opinión. Hay gente que sigue anclada a un pasado, pero porque el pasado les venía mejor. Yo miro siempre hacia un futuro mejor, y lucho por ello. Mirar hacia atrás es bueno, pero solo para tomar impulso. no para anclarse.

Se que no me voy a ganar muchos amigos de la cultura hacker, pero lo dicho, OS ENTIENDO, lo he vivido con otras pasiones mías, pero la realidad al final es la que es. El tiempo pasa, y si no creces, envejeces.

Respecto a los rankings, méritos, títulos, conferencias, incidentes, de todo eso paso de opinar. Al final cada uno lucha por lo suyo de la manera que cree oportuna. Por supuesto que no iría nunca a ninguna ciberguerra con la bandera del pp por 2.000€, pero respeto a mis amigos que salen en la entrevista por el trabajo que hacen, aunque el tonto del periodista los haya metido en un embolao. A TODOS. no vale decir que unos sí y otros no, porque son tus amigos unos o los otros, TODOS los mencionados son grandes en lo suyo, unos técnicamente, otros en la divulgación, etc, pero TODOS aportan.

OS KIERO.

miércoles, 10 de mayo de 2017

Ventana de auditoria 2am-7am. ¿Me levanto o lo dejo programado?

Estimados amigos de Inseguros !!!

Hace unos días un cliente comentaba el caso de una auditoría de sistemas perimetral, de una organización none-stop, 24/7 etc. No conozco a ninguna empresa que no se venda asi :-) Todos son la NASA.

El caso es que pedía que las tareas de automatización con herramientas se lanzarán en horas de baja actividad, lo típico. Lo de esta empresa era que lo típico no eran las 19:00 o los fines de semana, era la madrugada.


Claro, si cobramos el precio hora a precio de noche, 5 veces más caro, la auditoría la va a hacer Rita la bailaora...

Hay tipos de empresas en las que la respuesta es " SISISISIS, por supuesto" y en otras debe ser así.

Dentro mi filosofía de trabajar poco y rendir mucho pensé en que si Dirbuster y Zap, que son dos herramientas que suelo usar ,tienen línea de comandos, tengo el asunto hecho.... pues nada, vamos a ello.

Dirbuster, localizo el jar dentro de mi linux y pruebo con esto:

java -jar /usr/share/dirbuster/DirBuster-1.0-RC1.jar -u http://www.google.es -H -l /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -e asp,aspx,php,txt,doc,docx,xls,xlsx,* -t 90 -v

Con un -h tienes toda la ayuda.

En mi caso instale el paquete AT y hago lo siguiente: at 11:59 AM Thu -f /var/dirbustar_google.sh

Más claro agua, a las 11:59 ejecuta el script con la ejecución de dirbuster...



Ahora el turno es para Zap, otro de mis habituales.

Sin muchas complicaciones, me bajo el git del proyecto https://github.com/garethr/zapr que hace realmente lo que quiero, mediante una api de zap permitirme acceder a uno puñao de comandos.

Instalo como el autor indica con gem install zapr

zapr --debug --zap-path /usr/bin/zaproxy http://127.0.0.1

De esta manera lanzará un spider básico sobre el target y un attack por defecto.

Si necesitas más granularidad, como por ejemplo autenticación, elegir políticas, etc puedes usar https://github.com/Grunny/zap-cli que nos permite un poco más configuración..

Bueno creo que ha quedado clara la reflexión de tener que hacer tareas en horas raras y que podemos jugar con la línea de comandos y con at para ejecutar las órdenes previamente configuradas.

Eso si, no olvides cobrar las horas como si realmente te hubieras levantado :-)


Gracias por leerme !!!

martes, 2 de mayo de 2017

Burp +CO2 extension: Sql Map más fácil

Estimados amigos de Inseguros!!!

Hoy voy a comentar un pequeño truco que espero que os sirva para vuestras tareas de auditoria.

Vamos a ver la extensión CO2 . Muy sencillo, nos proporciona una especie de front end para sqlmap.

Lo primero es instalarla. O bien nos bajamos el jar o desde el propio Burp, extender, buscamos e instalamos.

Vamos a imaginar el típico caso de una aplicación que estamos auditando manualmente y que encontramos un parámetro vulnerable a inyección. Queremos usar SqlMap para automatizar la extracción de base de datos y demás. Hasta aquí normal.

El caso es que tenemos que usar la cookie de sesión en SqlMap porque la aplicación así lo requiere.

Aparte, queremos usar las típicas preguntas y configuraciones que nos proporcionar SqlMap, hasta el Wizard !!!, pues dale.

Navegamos por la URL que queremos comprobar, botón derecho, enviar a sqlmapper.


Graficamente tenemos todas las opciones a configurar y un bonito comando listo para copiar y pegar ( en mi caso sqlmap está en otro sistema) en SqlMap y realizar el ataque.

Por supuesto que esta extensión no solo nos ofrece esta posibilidad. Nos ofrece ayuda para subir shells, manejar wordlist y algunas cosas más. Muy intuitiva.

Espero que os guste este pequeño truco.

Gracias por leerme !!!