Programa María Pita Defcon [9Marzo – 12:00]

captura

Hola:

Ya tenéis disponible el programa de María Pita Defcon.

Mi ponencia será el Jueves día 9 de Marzo a las 12:00.

Os dejo aquí el programa en PDF:

programa-conf

En breves se abrirá el registro obligatorio para poder acceder a cada uno de los Talleres y las conferencias.

captura

En la página principal de María Pita Defcon encontrareis la opción de registro.

Un saludo.

¡¡Nos vemos en María Pita Defcon!!

 

Publicado en Netting, Noticias, Seguridad Informática

6-12M: Ponente en María Pita DefCon

captura

Hola:

Entre el 6 y el 12 Marzo de 2017 participaré como ponente en las Jornadas María Pita DefCon. Aun tengo que cerrar el día y la hora, en cuanto lo sepa publicaré los horarios en el blog.

Participare en estas Jornadas como ponente dando una conferencia sobre ciertas fisuras de seguridad que he ido encontrado en Facebook.

En la primera parte vamos a ver las opciones de privacidad por defecto para ver cómo se puede abusar de ellas.
En la segunda parte, nos centraremos en la búsqueda y extracción de números de teléfono. Se explicará como cualquier usuario con un poco de tiempo y dedicación podría extraer los números de teléfono de otras cuentas.
Terminare con un final fuera de lo común, combinando hacking e ilusionismo.

La ponencia consistirá en explicar todas estas fisuras desde el punto de vista de como “construir” un ataque.

Portapapeles de mi charla: http://www.mariapitadefcon.es/#portfolioModal12.

Read more ›

Publicado en Artículos, Netting, Noticias, Seguridad Informática

Loops Co <- Loops Teibow

homepage_logo_1

Hoy quiero presentaros un nuevo proyecto en el que ando totalmente sumergido… ¡No es para menos!  Ya son muchas las horas de mi vida que llevo invertidas en el, pero antes de hablaros de esas cosas… ¿Que tal si empezamos por el principio?

Loops CO, Loops Teibow – www.loopsco.es

Loops ha nacido. No ha sido fácil. Han sido largas horas de estudio de mucho, mucho trabajo, sudor y lágrimas. Nos hemos adentrado en menesteres que desconocíamos y, a priori, pensábamos que no eran necesarios, hemos tenido que estudiar técnicas que no sabíamos ni que existían, pero al final hemos podido llegar al final del túnel y ver la ansiada luz. Lo que empezó siendo un sueño para un grupo de amigos hoy continúa haciéndose realidad con el nacimiento de “Loops Tiebow“. La semilla ha sido plantada y ante nosotros surge un largo camino que recorrer. No será fácil y lo sabemos, pero estamos dispuestos a pelear. Por eso hoy te presentamos “Loops Tiebow”.

Aunque pueda parecerlo en un primer momento, nuestro artículo estrella no son pajaritas al uso. Hemos partido de esa base, sí, pero hemos dado un giro radical para elevar el concepto de pajarita tal y como lo conocemos por encima de su origen. Hemos creado un patrón de corte totalmente inédito, hemos modificado las texturas, los acabados y los colores, dotando al producto del equilibrio preciso, del punto exacto de consonancia para que tu “Loops Tiebow” sea la piedra angular de tu figura y armonice a la perfección con el resto de tu atuendo, proporcionándole distinción y personalidad. Con tu “Loops Tiebow” dotarás de equilibrio a tu figura sin importar el tipo de ropa que lleves puesta, bien sea un traje elegante o, simplemente, un polo o una camisa.

Esperemos sinceramente que cada uno de nuestros diseños que te hemos presentado sean de tu agrado. Por que están echos a mano con la mejor de las intenciones.

Para cualquier duda, problema, opinión, interés o consejo estamos a tu disposición en info[arroba]loopsco[dot]es. Por favor, cualquier cosas que te inquiete, sea lo que sea, sobretodo si son críticas negativas, háznoslo saber.

Ya sabes que lo es una Loops Tiebow, ahora… ¿estás listo para engancharte? 😉

Facebook: https://www.facebook.com/isloops
Instagram: https://www.instagram.com/loopsco/

Publicado en Netting, Noticias

Segmentación de memoria de un programa y el stack.

Hola:

logofinal

bugExploiting [Overflow].
Parte I. Segmentación de memoria de un programa y el stack.

En este artículo asentaremos las bases para poder adentrarse en el oscuro mundo del exploiting. Se trata de un artículo fundamental, de obligada lectura, para poder asimilar correctamente todos y cada uno de los conceptos posteriores. Comprenderás como se divide la memoria de un programa en ejecución, lo que se conoce como segmentación de memoria de un programa, cuales son sus segmentos, que objetivos tienen y que se almacena en ellos. Nos centraremos en el segmento del stack, su estructura, su comportamiento, nos acercaremos al concepto de marco de pila o frame stack. Todo ello necesario para comprender que sucede internamente cuando llamamos a una subrutina y, como posteriormente podemos aprovecharnos de todo esto para manipular el flujo del programa a nuestro antojo y obtener, por ejemplo, una shell con permisos de administración.

Este artículo pertenece al Taller bugExploiting. Puedes visitar la página del taller para obtener el índice y todos los artículos publicados.

Read more ›

Publicado en Artículos, [bug]Exploiting

“La polilla”

Hola:

Un dialogo muy interesante…

– ¡Devuélvame mi droga! ¡¿Ha oído lo que he dicho?! ¡¡Quiero que me la devuelva!! tengo que tomarla.

– Sin embargo me la diste.

– ¿Y si me arrepiento que?… ¡Estoy enfermo! ¿No se da cuenta?

– Eres más fuerte de lo que crees, Charlie. Te lo voy a demostrar. Dejare que me pidas la droga tres veces, a la tercera te la devolveré. Que quede claro… esta es la primera.

– ¿Por qué?… ¿Por qué me haces esto? ¿Para torturarme? Deshágase de ella y acabe de una vez.

– Si lo hiciera no podrías elegir, Charlie. Y poder tomar decisiones basadas en algo más que el instinto es lo único que te diferencia de un animal. Si lo hiciera jamás podrías superarlo…

[…][…]

– Quiero mi droga, Locke. No aguanto sentirme así.

– ¡Vamos! Quiero que lo veas… ¿Que crees que hay dentro de este capullo?.

– ¿Una mariposa?… Supongo… No lo sé.

– Algo mucho más hermoso aun… Es el capullo de un gusano… Las mariposas acaparan la atención pero los gusanos tejen seda, son más fuertes, más veloces…

– Es maravilloso pero…

– ¿Ves este agujerito?. La polilla está apunto de salir, está ahí dentro luchando, intentando atravesar la dura corteza del capullo… Ahora podría ayudarla, coger el cuchillo, ensanchar la abertura y liberar a la polilla… pero entonces sería demasiado débil para sobrevivir. Su lucha es un modo natural de fortalecerse… Esta es la segunda vez que me pides la droga. La tercera vez será tuya.

Publicado en Sin categoría

Parte II – Facebook y la privacidad por defecto (2): El Teléfono

Hola:

Parte IIYa está disponible en el Blog de Chema Alonso – elladodelmal.com – la Parte II de esta serie de artículos sobre Facebook y las opciones de privacidad por defecto, esta vez sobre el número de teléfono.

Parte I: http://www.elladodelmal.com/2015/08/facebook-y-la-privacidad-por-defecto-1.html

Parte II: http://www.elladodelmal.com/2015/08/facebook-y-la-privacidad-por-defecto-2.html

Extensión de Chema Alonso: http://www.elladodelmal.com/2015/08/averiguar-la-cuenta-de-facebook.html

En esta segunda parte de la serie nos centraremos en la búsqueda y extracción de números de Teléfono. Se explicará como cualquier usuario con un poco de tiempo y dedicación podría extraer de Facebook los números de teléfono de otras cuentas. ¿Con que fin?, Eso dependerá de la imaginación de cada uno, pero al final el poder localizar el número de teléfono de cualquier cuenta es una información valiosa que puede ser útil en múltiples circunstancias. Hacer esto puede parecer sencillo, ya que en Facebook se pueden hacer búsquedas por números de teléfono, directamente desde la cuenta, pero como veremos, gracias a la existencia de Facebook Messenger, la exposición de los números de teléfono es mayor de la que los usuarios piensan.

Sé que me queda pendiente publicar la herramienta FacePhone. Todavía no he podido publicarla por motivos de “inestabilidad”, algunas opciones de la última versión no funcionaban correctamente en MS Windows como el borrado de ficheros y la obtención de la ruta de los ficheros. En ciertas circunstanciás la conexión al gestor de bases de datos también falla. Intentaré corregir todo estos errores para sacar cuanto antes una versión limpia y los más estable posible. Siento la demora.

Por último, y no me cansaré de repetirlo, agradecer el apoyo y colaboración a Chema por todo esto. ¡Gracias, tío!

Creo que no se me olvida nada más.

¡Nos leemos! ¡Un saludo!

Publicado en Artículos, Netting, Noticias, Seguridad Informática

Prólogo y agradecimientos.

Hola:

Parte I

A lo largo de estos días, estructurado en diferentes partes, se irán publicando en el blog de Chema Alonso – elladodelmal.com – unos artículos correspondientes a ciertas fisuras de seguridad que he ido encontrado en Facebook. En la primera parte, ya publicada, Facebook y la privacidad por defecto: (1) El e-mail, os contare como es posible utilizar algunas de las características por defecto que tiene la plataforma Facebook y que pueden ayudar a realizar un ataque, o a capturar datos que puedan ser utilizados en el futuro de manera maliciosa. Es decir, vamos a ver las opciones de privacidad que tiene Facebook por defecto para ver cómo se puede abusar de ellas.

Con esta información, un atacante podría realizar ataques de ingeniería social, lanzar ataques de Spear Phishing, intentan robar la cuenta con las opciones de recuperación de contraseña o sacar datos que le ayuden a robar otras cuentas. Todo esto no son bugs, sino características que pueden ser utilizadas en contra del usuario y que tal vez deberían venir configuradas de otra forma por defecto.

La segunda parte, que detallaré más adelante, consta básicamente de la extracción de números de teléfono. De como se podría construir una agenda de teléfonos a través de los datos que proporciona Facebook.

Esta serie de artículos ha sido posible gracias a un duro trabajo y un gran esfuerzo. Han sido muchas horas sin dormir: estudiando el problema, buscando soluciones, realizando pruebas, comprendiendo situaciones, interpretando código, programando… en fin, ¡Muchísimas cosas! Quizás todo esto no se perciba en este artículo, principalmente porque aquí ya te lo doy todo “masticado”, pero os aseguro que así ha sido.

Al final todo este trabajo ha dado sus frutos. No quería despedirme sin antes dar mi agradecimiento a todos los que me habéis ayudado, bien soportando mis laaargas conversaciones hablando del tema – más en las fases más frustrantes -, gracias David, bien aportando ideas o herramientas, gracias Carlos, y al mejor grupo de amigos de la Intesné que tengo y tendré (ojalá la quedada sea posible), gracias por vuestro asesoramiento: Death, okaheri, Yorkshire, TuXeD (en vaya monstruo te has convertido), Popolous, Bebbop, disturb, Neofito, Pintxo, Vic_Thor… y tantos otros a los que le hemos perdido la pista… Gracias también a ti Miguel, por el asesoramiento y tus opiniones… Y en especial a ti “mona“, por soportar todos esos días de caos.
Lo dicho, ¡Mil gracias a todos!
Ahora a por el próximo objetivo… Solo que esta vez será sobre ilusionismo.

Yo podría vivir en una cascara de nuez y sentirme rey del universo infinito…Si no fuera por mis malos sueños.

Publicado en Artículos, Netting, Noticias, Seguridad Informática