Security By Default

Enlaces de la SECmana - 175

2013-05-19T09:58:00.000+02:00

Los chicos de Flu-Project hacen un Call For Developers para lo que podría ser la segunda versión de su herramienta Anubis, pensada para la recolección de información pública como parte de tests de intrusión. A esta segunda versión la llamarían Anubis Revolution
El framework de seguridad en redes por excelencia, Yersinia, del gran David Barroso y Alfredo Andres, se mueve a un nuevo repositorio de Github.
La Guardia Civil presenta el libro “Por una red más segura”, escrito por Ángel-Pablo Avilés, en el que recopila las entradas y artículos más relevantes publicados en el Blog de Angelucho. Tenéis también un video "trailer" aquí con la presentación del libro. Este viernes y ayer sábado se celebraron las primeras jornadas de "Por una red más segura", en las que participó como ponente nuestro compañero Lorenzo Martinez con una charla acerca del Spam y Phishing.
En el diario.es, detenido en Guadalajara un joven de 20 años por difundir en Twitter datos personales de Rosa Díez y Toni Cantó. El detenido, según han explicado los responsables de la operación, almacenaba además información personal de más de 1.500 personas relacionadas con el mundo de la política, el periodismo o el deporte.
El Inteco abre el plazo de inscripción de 20 plazas para trabajar como técnico en Ciberseguridad. Para acceder al puesto, los candidatos tienen que llevar a cabo diversas pruebas para demostrar conocimientos técnicos y psicotécnicos. En la oferta se pueden encontrar tanto las bases de la convocatoria como un Anexo del puesto
Documental de más de 15 minutos con una entrevista exclusiva a Jake Davis, alias "Topiary", uno de los miembros del grupo Lulzsec, todos ellos detenidos. Jake ha sido condenado a 2 años de carcel. En dicho documental, también se cuenta con la presencia de Mikko Hypponen, de F-Secure.
Apple corrige 41 vulnerabilidades de seguridad en su reproductor iTunes. Alguna de estas vulnerabilidades fueron descubiertas hace más de un año. Una de ellas, la correspondiente con el CVE-2013-1000, por parte del gran Fermín J. Serna, en nombre del Google Security Team.
Disponibles las slides en este enlace de la pasada NoSuchCon que se ha celebrado este pasado jueves 15, viernes 16 y sábado 17 en Paris. Especial mención merece la charla de Mateusz "j00ru" Jurczyk con título "Abusing the Windows Kernel: How to Crash an Operating System With Two Instructions"
Anunciada la lista de ponencias y ponentes para la próxima OWASP Europe Tour - Barcelona 2013, entre los que se encuentran Marc Rivero, Chema Alonso, Albert López "Newlog", entre otros muchos. Se celebrará el 14 de Junio en la Universitat Ramon Llull, La Salle. ¡Cita que no te puedes perder!

Videos de las UPM TASSI 2013

2013-05-18T08:00:00.000+02:00

Desde la UPM llevan celebrando las TASSI (Temas Avanzados en Seguridad y Sociedad de la Información) desde febrero de este año, en lo que es ya su novena edición, a razón de una pequeña charla de hora y media cada quince días.

El pasado 17 de abril tuve el honor de participar en una de estas clases y ya se pueden ver el vídeo en el canal oficial de Youtube la Universidad Politécnica de Madrid.

La conferencia era una introducción a los conceptos y ámbito de la explotación de vulnerabilidades en un test de intrusión. Porque se hace este tipo de actividades y alguna demostración sencilla de cómo funcionan.

No es el único, y todos los anteriores también han sido publicados. También están las presentaciones y materiales de otros años anteriores en el histórico que mantienen en la página web.

Dejo aquí todos los de la edición 2013 a falta de un par que estarán muy pronto en el mismo sitio.

Detectando IPs TOR en ficheros access_log

2013-05-17T08:08:00.000+02:00

Cuando hablamos de TOR, es bastante frecuente encontrarse con la pregunta de ¿Y cómo detecto si una IP proviene de TOR? Normalmente asociada a conexiones web.

En realidad, saber si una IP proviene de un nodo TOR es relativamente sencillo y no requiere magia de ningún tipo.

El propio proyecto TOR te explica como hacerlo y ofrece un montón de ejemplos para hacerlo desde múltiples lenguajes de programación (Python, PHP, Perl ...)

Por si no fuera poco, la lista de nodos TOR es pública y se puede consultar desde esta URL.

Pensando desde un punto de vista forense, tal vez sí echo a faltar herramientas que permitan analizar el contenido de un fichero de logs Apache e indique cuales de esos accesos provienen desde una red TOR.

Como no he encontrado nada que me haya convencido, decidí hacer mi propia implementación.

Cuando me puse a ello, tenía dos opciones posibles: O bien me iba a las consultas DNS (como en los ejemplos antes mencionados) o lo hacía de una forma un poco diferente.

Creo que es poco óptimo el ir IP por IP del fichero de log y lanzar una consulta DNS, así que pensé que era mejor descargar la lista completa de nodos TOR, parsearla para obtener la IP y comparar con lo que iba encontrando.

El resultado es este:

Para ejecutarlo, tan solo toma como parámetro el fichero de log a analizar.

$ python parsetor.py access_log

Cabe señalar un matiz: Si en el momento en el que se realiza el análisis el nodo TOR no se encuentra activo, no aparecerá, así que cuanto más frescos sean los datos, más oportunidades hay de tener un resultado más fiable